Le password complesse non bastano più. Sembra un’affermazione drastica, eppure è esattamente quello che emerge dagli ultimi allarmi lanciati in occasione del Password World Day 2026 dagli esperti di Check Point Software Technologies, tra le aziende più note nel campo della sicurezza informatica. Il problema? L’intelligenza artificiale, quando finisce nelle mani sbagliate, è in grado di rendere vulnerabili anche le credenziali che fino a ieri sembravano a prova di bomba.
Il punto è che il panorama delle minacce informatiche si è trasformato radicalmente. Oggi si parla di una vera e propria economia industrializzata del crimine digitale, definita Cybercrime-as-a-Service (CaaS), alimentata dall’IA generativa. Gli esperti di Check Point lo dicono senza giri di parole: il classico consiglio di usare una password con numeri, simboli e lettere maiuscole appare ormai superato. Una password di 16 caratteri, per quanto robusta, diventa inutile se un malware di tipo infostealer riesce a estrarla direttamente dalla cache del browser. Oppure, scenario ancora più banale, se qualcuno la incolla in un chatbot AI non gestito dall’azienda, magari senza neanche rendersene conto.
Il mercato nero delle credenziali si è spostato su Telegram
David Gubiani, Regional Director Sales Engineering EMEA Southern & Israel di Check Point Software Technologies, ha descritto un cambiamento significativo nel modo in cui i dati rubati vengono venduti e monetizzati. I tradizionali forum del Dark Web servono ormai quasi solo a costruire la credibilità dei venditori. Le transazioni vere e proprie, invece, si sono spostate su canali Telegram privati e bot automatizzati, dove tutto avviene in modo immediato. Questo passaggio ha reso il traffico di credenziali rubate molto più veloce e difficile da intercettare.
Ed è proprio questa velocità a rendere le password complesse ancora più vulnerabili. Il tempo che intercorre tra il furto e l’utilizzo dei dati si è ridotto drasticamente, lasciando pochissimo margine per reagire. Le informazioni sensibili finiscono in vendita nel mercato nero di internet quasi in tempo reale, e chi non monitora costantemente la situazione rischia di accorgersene quando è troppo tardi.
Come proteggersi dalla violazione delle password complesse con intelligenza artificiale
Restare aggiornati sulle tecniche di difesa è diventato complicato, tra attacchi sempre più sofisticati, campagne di phishing e smishing che evolvono di continuo. Però qualche accorgimento concreto esiste e può fare la differenza. Prima di tutto, va evitato l’errore più diffuso: riutilizzare le stesse credenziali su più account. Le combinazioni comuni e le password riciclate sono il primo bersaglio per i criminali informatici, che dispongono di strumenti automatizzati in grado di testarle su migliaia di servizi in pochi minuti.
Poi c’è il discorso delle passkey, soluzioni senza password che rappresentano un passo avanti importante. Anche sfruttando l’intelligenza artificiale, violare un sistema basato su passkey risulta decisamente più difficile rispetto a forzare una stringa di caratteri tradizionale. Infine, il monitoraggio continuo del Dark Web. Sapere se le proprie credenziali sono finite in vendita permette di intervenire rapidamente, cambiando le password compromesse prima che vengano sfruttate.
Gubiani ha chiuso con una riflessione piuttosto netta: le password, un tempo considerate le chiavi del castello digitale, oggi sono diventate una risorsa a rischio, oggetto di traffico intenso nel mercato nero. Il futuro della sicurezza aziendale, secondo il manager di Check Point, non dipenderà più soltanto da una stringa di caratteri, ma dalla capacità di verificare i comportamenti degli utenti.
