Kaspersky: così funziona il mercato del lavoro nel dark web

Dic 23, 2025 Stefano Silvestri Approfondimenti, Attacchi, Hacking, Hardware, Leaks, Malware, Mercato, Minacce, Scenario, Tecnologia, Vulnerabilità 0

Il dark web non è più soltanto un luogo di scambio di malware, dati rubati o servizi illegali.

Secondo un’analisi condotta da Kaspersky, sta assumendo sempre più le caratteristiche di un vero e proprio mercato del lavoro parallelo, con dinamiche organizzative che ricordano da vicino quelle dell’economia legale.

È un mercato capace di attrarre disoccupati, adolescenti e professionisti altamente qualificati, e che svolge un ruolo sempre più centrale nella preparazione degli attacchi informatici.

Il report di Kaspersky

Il rapporto realizzato dal team di Digital Footprint Intelligence, mostra come nel primo trimestre del 2024 il numero di curriculum e offerte di lavoro pubblicati sui forum clandestini sia raddoppiato rispetto allo stesso periodo del 2023, mantenendo poi livelli elevati anche nel primo trimestre del 2025.

Fabio Sammartino, Head of Pre-Sales di Kaspersky.

Nel complesso, nel 2025 i curriculum superano le offerte di lavoro con un rapporto del 55% contro il 45%, un dato che riflette sia i licenziamenti globali nel settore tecnologico sia l’ingresso di candidati sempre più giovani, con un’età media di 24 anni e una presenza significativa di minorenni.

Limitarsi a leggere questo fenomeno come un problema sociale sarebbe però riduttivo. Come ha spiegato Fabio Sammartino, Head of Pre-Sales di Kaspersky, il mercato del lavoro nel dark web rappresenta oggi una componente strutturale dell’ecosistema del cybercrime.

“La domanda non è più quante minacce ci sono ma come si sviluppano gli attacchi e come funziona l’ecosistema che li rende possibili”, ha osservato Sammartino.

Backdoor, spyware e password stealer non sono soltanto categorie tecniche ma riflettono le dinamiche operative di gruppi criminali motivati finanziariamente, quelli che colpiscono più spesso le aziende.

Il dark web svolge allora una funzione chiave nella fase preparatoria degli attacchi. “Nel dark web si annunciano e si vendono credenziali compromesse, spesso ottenute tramite infostealer e password stealer”, ha spiegato Sammartino.

Esistono gruppi verticali che si occupano esclusivamente di questa attività: raccolgono dati di accesso, selezionano quelli più appetibili e li rivendono, alimentando una catena che prosegue fino all’attacco vero e proprio.

Specializzazione e ruoli “as-a-service”

Il report di Kaspersky mostra come questo mercato sia fortemente specializzato.

I ruoli più richiesti coincidono con le diverse fasi della filiera criminale: sviluppatori incaricati di creare strumenti offensivi, penetration tester che analizzano le reti bersaglio, broker di accesso che rivendono credenziali compromesse, figure dedicate al riciclaggio di denaro o alla monetizzazione delle frodi.

Il dark web vede offerte di lavoro per incarichi quali sviluppatori, penetration tester, broker di accesso e riciclaggio di denaro.

“Una volta ottenuto il primo accesso, succede questo: se l’attore è solo un broker di accesso, rivende l’accesso; se è un gruppo più strutturato, prosegue nell’attacco”, ha chiarito Sammartino.

È una catena ben definita che può sfociare nel furto di dati, nell’estorsione o nella cifratura ransomware, spesso senza che venga installato nuovo malware ma sfruttando strumenti già presenti nei sistemi compromessi.

Le aspettative economiche riflettono questa specializzazione. I reverse engineer risultano le figure più pagate, con compensi medi superiori ai 5.000 dollari al mese, seguiti da penetration tester e sviluppatori.

Altri ruoli operano su base percentuale, trattenendo una quota dei profitti. Un modello che replica, anche nell’economia sommersa, la logica del valore delle competenze rare.

Dalla comunicazione su Telegram alle infrastrutture proprietarie

Un altro elemento emerso dall’intervento di Sammartino riguarda l’evoluzione delle piattaforme utilizzate dai gruppi criminali.

Per anni, gran parte delle attività di compravendita e coordinamento si è svolta su Telegram. “Ultimamente l’approccio della piattaforma verso le attività illegali è cambiato”, ha ricordato Sammartino. “Telegram non è sparita ma è in una fase di progressivo abbandono”.

La conseguenza è uno spostamento verso altre piattaforme, come Signal, e soprattutto verso strumenti di messaggistica proprietari, costruiti direttamente dai gruppi criminali.

Una scelta dettata dall’esigenza di segretezza e resilienza, che rende il monitoraggio più complesso per chi difende.

I criminali informatici stanno spostandosi da Telegram a Signal, se non addirittura a strumenti di messaggistica proprietari.

Perché riguarda direttamente le aziende

Dal punto di vista della sicurezza, il mercato del lavoro nel dark web non è un fenomeno marginale. È uno dei luoghi in cui si manifestano per primi i segnali di un attacco imminente.

“Se vedo le credenziali dei miei utenti in giro nel dark web, quello è un segnale che può precedere un attacco”, ha sottolineato Sammartino. È in questa fase che diventa possibile intervenire prima che l’accesso venga sfruttato o rivenduto.

Gli attaccanti motivati finanziariamente scelgono la strada più veloce: non la vittima più ricca ma quella più facile da colpire.

Per questo, capire cosa accade nel dark web (quali competenze vengono cercate, quali servizi vengono offerti, quali asset vengono messi in vendita), è parte integrante di una strategia di difesa efficace.

Il messaggio che emerge dall’analisi di Kaspersky è chiaro: il cybercrime non si limita a sfruttare vulnerabilità tecniche ma costruisce e alimenta un bacino di competenze che rende le minacce sempre più scalabili e persistenti.

Monitorare questo mercato non significa solo osservare un fenomeno criminale ma intercettare in anticipo i segnali deboli di attacchi che, spesso, sono già in fase di preparazione.

Condividi l'articolo