Nel 2022 Google Alphabet, la holding cui fanno capo le aziende a marchio Google e altre controllate, ha raggiunto la ragguardevole cifra di 60 miliardi di utile netto. La domanda che può sorgere spontanea è: come ha fatto? Dopotutto per la maggior parte dei servizi Google non è necessario alcun tipo di pagamento. Qualcuno si è mai dovuto iscrivere per utilizzare Google Maps o Google Drive? Esiste un abbonamento per Gmail o per Chrome? No.
Privacy in vendita
E allora come può l’azienda statunitense macinare così tanti soldi? Semplice: grazie al nostro contributo. Noi, o meglio, i nostri dati sono infatti denaro sonante. Vi siete mai chiesti, quando navigate su internet, come facciano a raggiungervi quelle pubblicità che – stranamente – vi offrono proprio il prodotto o il servizio di cui avete bisogno? Anche qui la risposta è semplice: quei dati che cediamo senza nemmeno accorgercene (qualcuno di voi ha mai letto per intero l’informativa sul consenso all’utilizzo dei dati?), vengono venduti ad altre aziende che tarano il proprio business plan sui nostri gusti e le nostre necessità più intime e recondite.
Stessa cosa avviene con le applicazioni che tanto amiamo scaricare sui nostri smartphone. Che si tratti di un videogioco o di un editor video, vi sarà sicuramente capitato di dover cliccare sul quadratino “acconsento” prima di poterla utilizzare. Ecco, in quel preciso momento avete mercanteggiato i vostri dati per qualche minuto di intrattenimento. E tutto questo, badate bene, è lecito.
Un grande bazar illegale
C’è poi la parte illecita. Ovvero il grande mercato dei dati sul Darkweb. Come abbiamo detto, i dati sono il petrolio del XXI secolo e possono fruttare una montagna di quattrini. E a differenza del combustibile fossile, che un giorno si esaurirà, i dati continueranno ad aumentare. Nel 2023 una società di sicurezza informatica americana, la Resecurity, intercettò in uno dei tanti forum del Darkweb la vendita di 5 milioni di identità digitali. Attenzione, parliamo di particolari dati rubati che comprendono impronte digitali, moduli di auto-compilazione e info log (informazioni di login), il tutto al prezzo di vendita di 80 mila dollari. Sebbene la popolazione più colpita dalla fuga di dati fosse quella indiana, ben 600 mila cittadini, sia l’Indian Council of Medical Research (ICMR), ente per la ricerca biomedica, che il Ministero della Sanità indiano, né confermarono né smentirono la violazione del loro database e l’esfiltrazione dei dati.
Secondo una delle più autorevoli compagnie di provider, NordVPN, tra i paesi più colpiti da queste violazioni c’è anche l’Italia, ma soprattutto, più in generale, l’Europa settentrionale proprio per la sua massima diffusione di internet e per la diffusione dei servizi e-commerce. Tanto per fare un altro esempio, un utente registrato con il nickname di messina123, nel 2016, chiese aiuto sulla chat di un noto market place del Darkweb per piazzare il suo prodotto. Ecco il testo tradotto dall’originale inglese: “Ho oltre tre milioni di identità italiane (ho scaricato un grande database). Ci sono: nome, cognome, indirizzo, carta di identità (numero e data), codice fiscale, indirizzo di posta elettronica, numero di telefono e codice IBAN, Contattatemi se avete bisogno di un’identità o se avete una buona idea su come fare un mucchio di soldi con tre milioni di identità”.
Un mare di dati
Da qualche anno, come spesso ricorda l’esperto di cyber security Alessandro Curioni nei suoi interventi pubblici, siamo entrati nell’era dello zettabyte. Ovvero hanno iniziato a circolare sulla rete una quantità di dati misurabili in 10 alla ventunesima byte, con un numero a piacere davanti. Si stima, per esempio, che nel 2025 il volume di dati che circolano in rete raggiungerà i 163 zettabyte, la maggior parte dei quali disponibili da fonti aperte e, in particolare, dai social network.
Un mercato riservato a pochi: parola dell’esperto
Ma come funziona questo enorme bazar criminale? E quali sono i rischi per la nostra privacy? Per scoprirlo, ne abbiamo parlato con un esperto di sicurezza informatica: Valerio Lupi, meglio conosciuto con il nickname di “valerino”, esperto di intercettazioni informatiche e di cyber security, sviluppatore di malware per enti governativi e, dopo una carriera passata in aziende come Hacking Team, Verint e CY4Gate, adesso impiegato presso Mentat, società del Gruppo DI.GI. A lui abbiamo chiesto, per prima cosa, su quali market place del Darkweb è possibile acquistare dati:
“I market place nascono e muoiono in continuazione, spesso vengono sequestrati dalle autorità di qualche paese e compaiono altrove con un altro nome. Per frequentarli e per poter acquistare stock di dati bisogna essere del giro. Bisogna conoscere l’ambiente e frequentare i forum giusti. Molto spesso per accedere a questi siti occorre anche pagare”.
Parlando di market place sequestrati viene in mente la storia del più grande market del Darkweb, Alpha Bay, chiuso nel 2016 a seguito di una imponente operazione di polizia che meriterebbe un racconto a parte. Ma quali sono adesso gli store più attivi nel Darkweb? “Attualmente ci sono Breachforums.cx, accessibile solo attraverso una VPN (una rete virtuale che cifra il traffico su internet e rende la navigazione anonima), XSS.IS, che è un forum russo, Darkfeed.IO, dove vengono pubblicate le statistiche di quanto accade ogni giorno in merito a grandi furti di dati. Altri market place non li conosco”.
Hackerare per la gloria
Quali sono i dati acquistabili sul Darkweb e a cosa possono servire? “Sul Darkweb si trova qualunque tipo di dato. Ovviamente i più ricercati sono quelli esfiltrati da un’azienda”. Difficilmente, dunque, si va sul Darkweb alla ricerca di un dato singolo o dei dati di una singola persona. I pacchetti in vendita sono veri e propri stock con centinaia, quando non migliaia di dati tutti insieme: “Troppo spesso gli esperti di cyber security o presunti tali gridano al disastro quando avviene un furto di dati. È capitato, per esempio, che dei criminali informatici tempo fa esfiltrassero i dati del servizio sanitario del Lazio. Furono i molti a strapparsi i capelli per l’enorme danno alla privacy. Ma a pensarci bene, cosa te ne fai dei dati di una tessera sanitaria? Fondamentalmente nulla. Cosa te ne fai dell’indirizzo di casa di una persona? Nulla, anzi, fino a pochi anni fa l’avresti trovato sull’elenco telefonico… ecco perché sono molto scettico quando si parla di furto dei dati”.
Ma allora per quale motivo un hacker dovrebbe esfiltrare una mole così considerevole di dati? “Per dimostrare che può farlo. Per la gloria”.
Spionaggio industriale
Quali sono, allora, i dati davvero pericolosi e, di conseguenza, i più ambiti sul mercato nero del web? “Indubbiamente le cose cambiano quando i dati rubati e venduti riguardano delle carte di credito. In quel caso allora sono d’accordo, il danno è considerevole. Ma quello che veramente provoca guai è il commercio di dati – e segreti – industriali. Qualche tempo fa dei criminali informatici sono entrati nei sistemi di Microsoft e hanno estratto il codice sorgente. Stessa cosa è accaduta con il videogioco FIFA. In questi casi si parla di spionaggio industriale”.
Insomma, creare terrore non serve. È vero, il mercato dei dati esiste e gode di ottima salute, ma non dobbiamo farne una paranoia, perché in questo caso tanto varrebbe rinunciare per sempre a internet e a tutti i vantaggi a esso connessi. Solo così metteremmo al riparo (o almeno così ci piace pensare) i nostri dati. In caso contrario, dobbiamo scendere a compromessi: rinunciare alla nostra privacy per andare verso il futuro insieme ad altri miliardi di persone. Ovviamente tutte connesse.
