Un dato che fa impressione: nel corso del 2025, più di un milione di conti bancari sono stati compromessi da criminali informatici. E nella stragrande maggioranza dei casi, il furto è avvenuto tramite software spia, quei programmi silenziosi che si infilano nei dispositivi delle vittime senza che nessuno se ne accorga. A peggiorare il quadro, il dark web continua a funzionare come una vera e propria centrale di smistamento per dati rubati, alimentando un ecosistema criminale sempre più organizzato.
I ricercatori di Kaspersky hanno individuato sui mercati neri e nei forum clandestini le credenziali di accesso di oltre un milione di conti, appartenenti a clienti delle cento più grandi banche del mondo. Questi dati sensibili, in molti casi, sono stati pubblicati online mesi dopo il furto effettivo. Il che significa che chi è stato colpito potrebbe non saperlo ancora. A rendere tutto questo possibile sono gli infostealer, malware progettati per aspirare qualsiasi informazione utile dai dispositivi: password salvate, cookie di navigazione, email e altri dati personali. Kaspersky segnala che le rilevazioni di infostealer sono aumentate del 59% a livello globale tra il 2024 e il 2025 su PC. In Europa, il tasso di infezione è cresciuto di quasi il 50% nello stesso periodo.
Un dettaglio che vale la pena sottolineare: il 4% delle carte bancarie compromesse nel 2025 e rintracciate sul dark web risultava ancora valido a marzo 2026. Tradotto in pratica, un utente il cui conto è stato violato potrebbe non rendersene conto per anni, fino al giorno in cui un criminale decide di sfruttare quei dati.
Dallo schermo del PC a quello dello smartphone
C’è un cambio di rotta evidente nelle strategie dei cybercriminali: gli attacchi con malware bancario su dispositivi mobili sono stati moltiplicati per 1,5 nel 2025 rispetto all’anno precedente. Il motivo è piuttosto intuitivo. Sempre più persone gestiscono le proprie finanze esclusivamente dallo smartphone, e i criminali si sono adeguati. Nel frattempo, i malware bancari tradizionali per computer sono in calo, ma non perché le banche siano più sicure. Semplicemente, i criminali hanno trovato metodi più efficaci passando dal dispositivo che tutti portano in tasca.
In questo scenario, il phishing resta un’arma micidiale. Nel 2025, le finte boutique online rappresentavano il 48,5% di tutti i siti di phishing finanziario rilevati, seguite dai falsi siti bancari (26,1%) e dai finti sistemi di pagamento (25,5%). È attraverso queste trappole che i pirati diffondono malware o rubano credenziali bancarie.
Il dark web come piattaforma di servizi per la criminalità finanziaria
Polina Tretyak, analista di Kaspersky Digital Footprint Intelligence, ha descritto il dark web come «la piattaforma centrale della criminalità finanziaria». Sui mercati neri frequentati dai pirati, le credenziali e le carte bancarie rubate vengono aggregate, riconfezionate e vendute, mentre kit di phishing pronti all’uso sono offerti come servizi chiavi in mano. Il dark web si è trasformato in un ecosistema che si autoalimenta, permettendo anche a truffatori poco esperti di condurre attacchi su larga scala.
I servizi di phishing e pirateria in abbonamento sono accessibili ormai per poche centinaia di euro. Strumenti già pronti, venduti a poche decine di euro sui forum clandestini, consentono a chiunque di lanciare campagne di truffa o sfruttare database rubati.
A peggiorare ulteriormente la situazione, le fughe di dati bancari continuano ad aumentare, specialmente in Francia. Negli ultimi anni, i dati bancari dei cittadini francesi sono finiti ripetutamente sul dark web, dal hack del registro nazionale dei conti bancari (FICOBA) fino al più recente attacco massiccio a Basic-Fit, che ha portato all’esfiltrazione delle coordinate bancarie di un milione di abbonati della catena di palestre.
Kaspersky raccomanda di attivare l’autenticazione a due fattori su tutti i conti bancari, utilizzare un gestore di password per evitare di riutilizzare le stesse credenziali e non cliccare mai su un link ricevuto via email o SMS senza prima aver verificato l’indirizzo del mittente.