data monetization nel dark web

Data monetization nel dark web: perché il dato sanitario vale più di una carta di credito

A cura di:Redazione Ore

Esiste un mercato globale, liquido, altamente specializzato, che funziona ventiquattr’ore su ventiquattro senza soluzione di continuità. Non ha sede legale, non paga tasse, non figura in nessun registro delle imprese. Eppure muove miliardi di dollari ogni anno, ha i suoi operatori specializzati, le sue catene di fornitura, i suoi indici di prezzo e persino i suoi meccanismi di reputazione e feedback tra venditori e acquirenti.

Data monetization nel dark web: come funziona il mercato dei dati rubati

È il mercato dei dati rubati nel dark web, e negli ultimi cinque anni ha subito una trasformazione profonda che i responsabili della sicurezza informatica (e i decisori aziendali in generale) non possono più permettersi di ignorare: il baricentro del valore si è spostato in modo netto dai dati finanziari ai dati sanitari.

Capire perché questo accade, e cosa implica sul piano della strategia difensiva, è oggi una delle questioni più urgenti dell’intero panorama della cybersecurity.

Anatomia di un mercato: i prezzi che nessuno vorrebbe conoscere

Per comprendere la portata del fenomeno, occorre partire dai numeri concreti che circolano, e vengono regolarmente aggiornati, sulle principali piattaforme di intelligence criminale underground.

Un numero di carta di credito completo di dati associati (il cosiddetto “fullz” finanziario: numero, CVV, data di scadenza, nome, indirizzo di fatturazione) si vende tra i 6 e i 30 dollari, talvolta meno se acquistato in grandi quantitativi. Le credenziali bancarie per conti con saldo inferiore ai 2.000 dollari partono da circa 100 dollari; quelle per conti più ricchi possono arrivare a 1.000 dollari o poco oltre. Le credenziali di accesso aziendale (username e password per VPN o sistemi EHR) vengono offerte tra i 3 e i 25 dollari.

Il dato sanitario racconta una storia completamente diversa. Secondo l’analisi condotta dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti nel suo HC3 Intelligence Briefing Update dedicato ai marketplace di PHI (Protected Health Information) nel dark web, un singolo record sanitario completo si vende in media 250 dollari, con punte fino a 1.000 dollari per dossier particolarmente ricchi o relativi a soggetti di alto profilo.

IBM X-Force conferma questo ordine di grandezza nel proprio Cost of a Data Breach Report 2024: mentre un numero di carta di credito rubato “può valere pochi dollari”, i record sanitari completi vengono scambiati attorno ai 250 dollari ciascuno, e i certificati di nascita falsificati a partire da PHI compromessa partono da almeno 500 dollari.

Il differenziale è quindi nell’ordine di da 10 a 40 volte rispetto ai dati finanziari tradizionali. Non si tratta di una fluttuazione congiunturale: è una struttura di prezzo stabile, consolidata, che riflette un vantaggio competitivo reale del dato sanitario agli occhi dei criminali.

Perché il dato sanitario vale così tanto: l’economia dell’irrevocabilità

La ragione fondamentale di questo premio di prezzo sta in una caratteristica tecnica che ha conseguenze economiche dirompenti: il dato sanitario non ha scadenza.

Quando una carta di credito viene compromessa, la banca la disattiva nel giro di minuti o ore non appena scatta l’alert di frode. Il ciclo di vita utile di una carta rubata, ovvero il periodo in cui può essere monetizzata, si misura in ore o al massimo giorni. I criminali lo sanno, ed è per questo che operano in bulk: la velocità di conversione è tutto.

Il dato sanitario funziona in modo radicalmente diverso. Il numero identificativo di un paziente, la sua storia clinica, il codice fiscale abbinato alla diagnosi, le prescrizioni farmacologiche, i dati biometrici, le informazioni assicurative: tutto questo non può essere “cancellato” o “disattivato” come si fa con un codice CVV. Se è valido oggi, lo sarà tra sei mesi, tra cinque anni, tra dieci. Come documenta il Ponemon Institute nel suo studio sulla medical identity theft, la vittima media di un furto di identità medica spende oltre 13.000 dollari per cercare di risolvere la situazione, e in molti casi non ci riesce completamente, perché le conseguenze si propagano per anni attraverso cartelle cliniche alterate, sinistri assicurativi falsi, danni al credito.

Questa struttura crea quello che gli analisti economici chiamano “long-tail fraud”, ovvero una frode a lunga coda che può essere attivata e riattivata nel tempo, spesso molto tempo dopo che la vittima ha dimenticato che la sua privacy era stata violata.

La densità informativa come moltiplicatore di valore

C’è un secondo fattore strutturale: il contenuto di un record sanitario è straordinariamente denso rispetto a qualsiasi altro tipo di dato.

Un record EHR completo (Electronic Health Record) non contiene solo un numero e una data di scadenza. Contiene nome completo, data di nascita, codice fiscale, indirizzo di residenza, numero di telefono, dettagli assicurativi con numero di polizza, diagnosi passate e presenti, terapie farmacologiche in corso, referti di laboratorio, dati biometrici, nome e contatti del medico curante, informazioni finanziarie per il pagamento delle prestazioni. È, in sostanza, un profilo completo dell’identità di un individuo (finanziaria, biologica, sociale) racchiuso in un unico file strutturato.

Questo “bundle” di informazioni abilita una gamma di frodi impossibile da raggiungere con qualsiasi altro tipo di dato singolo. Nel gergo dei mercati underground, i PHI vengono offerti come “fullz”, pacchetti di informazioni strutturate, e sono quotati in base alla completezza del dossier e alla freschezza dei dati. I principali schemi di monetizzazione sono almeno sei:

  1. Medical identity theft: utilizzo dell’identità medica rubata per ottenere cure, farmaci o procedure a carico dell’assicurazione della vittima.
  2. Insurance fraud: presentazione di sinistri assicurativi falsi con dati reali del paziente, difficilmente rilevabile nel breve periodo.
  3. Prescription drug fraud: accesso a farmaci controllati (inclusi oppioidi) tramite prescrizioni falsificate con identità reale.
  4. Tax fraud: utilizzo del codice fiscale abbinato ai dati anagrafici per rimborsi fiscali fraudolenti.
  5. Synthetic identity fraud: creazione di identità ibride combinando dati reali di più vittime per aprire linee di credito o conti bancari.
  6. Estorsione personalizzata: uso di diagnosi sensibili (patologie psichiatriche, HIV, dipendenze, condizioni legate a stigma sociale) per pressioni dirette sulla vittima o sul suo datore di lavoro.

Esistono persino varianti specializzate del mercato: i dati pediatrici, provenienti da database di pediatri, vengono proposti sottolineando come i minori non controllino il proprio credito per anni, permettendo frodi latenti di lunghissima durata.

La supply chain criminale: dalla violazione alla liquidità

Uno degli elementi più sottovalutati del fenomeno è la sofisticazione operativa che caratterizza oggi la catena del valore criminale attorno ai dati sanitari. Non si tratta di lupi solitari: è un’industria strutturata con divisione del lavoro, specializzazione e, in molti casi, modelli di business che richiamano quelli del settore legale.

Il ciclo di vita tipico di un dato sanitario rubato attraversa almeno quattro fasi distinte.

La prima fase è l’acquisizione, realizzata attraverso vettori multipli: attacchi ransomware che combinano cifratura dei sistemi ed esfiltrazione dei dati (il cosiddetto modello double extortion); phishing e spear phishing mirati al personale sanitario; sfruttamento di vulnerabilità in sistemi IoMT (Internet of Medical Things) spesso aggiornati in ritardo; compromissione di fornitori terzi (business associates) che hanno accesso agli stessi dati dei provider primari; e, dato spesso sottostimato, le minacce interne, cioè personale sanitario corrotto o motivato economicamente che vende accessi o dati direttamente.

La seconda fase è lo staging e la classificazione: i dati esfiltrati vengono ordinati, deduplicati, arricchiti con informazioni provenienti da altri breach (cosiddetto data enrichment) e impacchettati in “fullz” di diverso valore. Esistono tool automatizzati per questa operazione, disponibili come servizio nei marketplace underground.

La terza fase è la monetizzazione primaria: vendita nei mercati dark web a operatori specializzati nelle diverse tipologie di frode. I prezzi variano in base alla freschezza del dato, alla completezza del profilo e alla presenza di elementi ad alto valore (diagnosi sensibili, dati assicurativi attivi, presenza di minori nel nucleo familiare).

La quarta fase è la monetizzazione secondaria: i dati vengono riutilizzati nel tempo, spesso da acquirenti diversi. Un dato venduto una volta non smette di circolare: viene incorporato in breach compilation più grandi, rivenduto in bundle, usato come leva per attacchi successivi (credential stuffing, spear phishing mirato, vishing con deepfake vocale).

Il Verizon Data Breach Investigations Report 2025, basato su 22.052 incidenti in 139 paesi, rileva che il 90% delle violazioni nel settore sanitario era motivato da ragioni finanziarie. Dato di assoluta rilevanza emerso nell’edizione 2025: la motivazione spionaggio è balzata dall’1% del 2023 al 16% nel 2024, segnalando una crescente attenzione da parte di attori state-sponsored verso il patrimonio informativo sanitario. La distinzione tra criminalità organizzata transnazionale e attori statali si fa sempre più sottile, con alcuni gruppi che operano in modalità “double-dipping”: utilizzano lo stesso accesso sia per raccolta di intelligence sia per monetizzazione economica.

Il panorama dei breach: i numeri di un’escalation

I dati aggregati del 2024 certificati dall’HHS Office for Civil Rights (OCR) descrivono un’escalation senza precedenti. Il 2024 ha registrato 276.775.457 record sanitari compromessi, con un aumento del 64,1% rispetto ai 168 milioni già record del 2023, pari all’81,38% della popolazione americana: in un solo anno, più di quattro americani su cinque hanno avuto i propri dati sanitari esposti.

Il costo medio di una violazione nel settore sanitario ha raggiunto 9,77 milioni di dollari per singolo incidente nel 2024 secondo IBM Security. Il Cost of a Data Breach Report 2025, pubblicato a luglio 2025, aggiorna questa cifra a 7,42 milioni di dollari, pur confermando la sanità al primo posto per costo dei breach per il quattordicesimo anno consecutivo, ben al di sopra del settore finanziario (5,56 milioni). Contestualmente, il lifecycle medio di un breach sanitario è salito a 279 giorni, circa nove mesi dalla compromissione al contenimento e cinque settimane in più rispetto alla media globale.

Il caso emblematico è l’attacco a Change Healthcare nel febbraio 2024, la più grande violazione di dati sanitari mai registrata nella storia. Nella notte tra l’11 e il 12 febbraio 2024, un affiliato del gruppo ransomware ALPHV/BlackCat ottenne accesso alla rete utilizzando le credenziali rubate di un dipendente di supporto di basso livello, prelevate da un canale Telegram specializzato nella vendita di credenziali. Il vettore di accesso era un portale Citrix desktop remoto privo di autenticazione multifattore.

Nei successivi nove giorni, fino al 21 febbraio 2024 (quando il ransomware fu distribuito), l’affiliato si mosse lateralmente nella rete esfiltrando circa 4 terabyte di dati altamente sensibili (ALPHV dichiarò 6TB sul proprio sito leak, ma l’analisi forense ha confermato circa 4TB). Il 3 marzo 2024 UnitedHealth Group pagò un riscatto di 22 milioni di dollari in Bitcoin per ottenere la garanzia di cancellazione dei dati; tuttavia ALPHV eseguì un exit scam: intascò il pagamento, scomparve senza corrispondere la quota all’affiliato, che trattenne una copia dei dati e li cedette successivamente al gruppo RansomHub per un secondo tentativo di estorsione, non andato a buon fine.

La stima definitiva degli individui colpiti, comunicata all’OCR nel gennaio 2025, è di 192,7 milioni, più della metà della popolazione americana e quasi il triplo del precedente record storico (Anthem, 78,8 milioni nel 2015).

L’episodio insegna almeno due lezioni. La prima: la concatenazione delle dipendenze nella supply chain sanitaria trasforma una singola violazione in un evento sistemico. La seconda: i 22 milioni di dollari versati non impedirono la pubblicazione dei dati, dimostrando empiricamente l’inefficacia del pagamento del riscatto come strumento di protezione.

Per un approfondimento sui meccanismi operativi degli attacchi ransomware in sanità, con analisi delle campagne più significative a livello nazionale e internazionale, si rimanda alla trattazione specifica pubblicata su queste pagine.

Il ruolo dell’intelligenza artificiale: un moltiplicatore di forza per gli attaccanti

L’arrivo dei modelli linguistici di grandi dimensioni dopo il 2022 ha introdotto una nuova variabile nell’equazione economica dei crimini cyber contro il settore sanitario. L’IA non ha creato nuovi vettori d’attacco: ha reso quelli esistenti infinitamente più scalabili, abbassando il costo marginale dell’exploit.

Il Cost of a Data Breach Report 2025 di IBM documenta che nel 16% delle violazioni analizzate gli attaccanti hanno impiegato strumenti di intelligenza artificiale, principalmente per il phishing (37% dei casi AI-assisted) e per il deepfake impersonation (35%). Le applicazioni concrete già osservate nelle campagne analizzate da Recorded Future e Intel 471 si articolano in quattro direzioni:

  1. Phishing ultra-personalizzato a scala industriale: messaggi costruiti con il nome reale, il reparto, il ruolo e persino riferimenti alle cartelle cliniche dei destinatari; un livello di personalizzazione che richiedeva ore di lavoro manuale e che ora può essere generato in secondi per milioni di target.
  2. Deepfake vocale (vishing): clonazione della voce di dirigenti sanitari per istruire il personale finanziario a effettuare trasferimenti urgenti, già documentata in attacchi reali.
  3. Automazione dell’analisi dei dati rubati: strumenti IA che classificano, arricchiscono e valorizzano automaticamente i dataset esfiltrati, aumentando la resa economica di ogni breach.
  4. Code generation per malware personalizzato: abbassamento della barriera tecnica per la produzione di exploit, ransomware e infostealer mirati a specifici sistemi sanitari.

Un elemento critico emerso dal report IBM 2025 è la questione dello shadow AI: i breach che coinvolgono l’uso non autorizzato di strumenti IA da parte dei dipendenti costano in media 670.000 dollari in più rispetto ai breach standard, con lifecycle più lunghi (247 giorni rispetto alla media di 241) e tassi più elevati di compromissione di PII/PHI. Nel settore healthcare, solo il 35% delle organizzazioni riesce a tracciare i propri flussi di utilizzo dell’IA, trasformando lo shadow AI in una superficie d’attacco sostanzialmente invisibile.

Il framework normativo europeo: dalla compliance alla resilienza

Il contesto regolamentare europeo (NIS2, GDPR, Cyber Resilience Act, con il DORA come benchmark per la resilienza operativa nel settore finanziario) ha introdotto un cambio di paradigma che il settore sanitario deve fare proprio.

La Direttiva NIS2, in vigore per gli Stati membri dal 18 ottobre 2024, classifica esplicitamente la sanità tra i settori “essenziali”, sottoponendola ai requisiti normativi più stringenti. Questo significa: misure di gestione del rischio cyber obbligatorie, crittografia dei dati, controllo degli accessi, sicurezza della supply chain, gestione degli incidenti con procedure di notifica entro 24 ore (early warning) e 72 ore (notifica formale).

Le sanzioni per le violazioni più gravi possono arrivare fino a 10 milioni di euro o il 2% del fatturato globale annuo. Il 17 aprile 2025 gli Stati membri erano tenuti a pubblicare la lista definitiva di entità essenziali e importanti nelle rispettive giurisdizioni, rendendo concreta e verificabile l’applicazione della norma. In Italia, il recepimento è avvenuto con il D.Lgs. 138/2024, che impone alle strutture sanitarie un adeguamento sostanziale delle proprie capacità di cybersecurity. Per una mappatura completa degli adempimenti NIS2 con scadenze e analisi delle misure obbligatorie, si rimanda alla guida pratica pubblicata su queste pagine.

Il DORA (Digital Operational Resilience Act), operativo dal 17 gennaio 2025 per il settore finanziario, introduce uno standard che il settore sanitario dovrebbe guardare come modello: testing della resilienza operativa (incluso il Threat-Led Penetration Testing obbligatorio per le entità critiche), governance del rischio ICT a livello di board, gestione strutturata del rischio di terze parti con possibilità di supervisione diretta dei fornitori critici da parte delle autorità. Il 18 novembre 2025, le European Supervisory Authorities (EBA, EIOPA, ESMA) hanno designato ufficialmente i Critical ICT Third-Party Providers (CTPPs) sotto DORA, un passo concreto verso la supervisione sistemica dei fornitori tecnologici più critici.

La logica di DORA, che consiste nel riconoscere l’interdipendenza critica tra l’organizzazione e le sue tecnologie e nel costruire resilienza sistemica piuttosto che semplice compliance di carta, è esattamente ciò che il settore sanitario deve metabolizzare.

Come cambia la strategia difensiva: da perimetro a dato

La trasformazione più profonda che il panorama descritto impone alla strategia difensiva è concettuale prima che tecnica: il perimetro da proteggere non è più la rete, è il dato.

Le architetture di sicurezza tradizionali si concentravano sulla difesa del confine esterno (firewall, DMZ, VPN). Questo modello presuppone un “dentro” fidato e un “fuori” ostile. Nel settore sanitario odierno, dove i dati vivono su cloud multipli, vengono elaborati da decine di fornitori terzi e sono accessibili da dispositivi IoMT distribuiti in ogni reparto, questo perimetro non esiste più. Costruire muri attorno a qualcosa che non ha confini definiti è un esercizio di sicurezza illusoria.

La strategia difensiva adeguata all’ecosistema attuale si articola su cinque assi.

  1. Data-centric security: proteggere il dato, non solo il contenitore

La crittografia end-to-end dei dati sanitari (a riposo e in transito) deve essere l’assunto di base, non un’opzione. Questo significa che anche in caso di breach, i dati esfiltrati risultino inutilizzabili senza le chiavi. La tokenizzazione dei PHI nei sistemi di elaborazione, la minimizzazione dei dati (raccogliere e conservare solo ciò che è strettamente necessario) e la classificazione automatica dei dati per livello di sensibilità sono componenti di questa logica. La NIS2 ha reso questo requisito esplicito: la crittografia è ora obbligatoria per le entità essenziali, eliminando la possibilità, prevista nelle versioni precedenti, di valutare discrezionalmente se fosse “ragionevole e appropriata”.

  1. Zero Trust Architecture: nessuna fiducia implicita

L’adozione del modello Zero Trust (“never trust, always verify”) risponde direttamente al vettore di attacco predominante nel settore sanitario. Il Verizon DBIR 2025 rileva che le credenziali rubate e il loro abuso rimangono tra i principali vettori di accesso iniziale, con l’elemento umano coinvolto in circa il 60% di tutti i breach analizzati. In un’architettura Zero Trust, la compromissione di una credenziale non equivale automaticamente all’accesso illimitato alla rete: ogni accesso richiede verifica dell’identità, del dispositivo, del contesto e del comportamento.

L’implementazione pratica include: autenticazione multifattore ovunque (incluse le soluzioni phishing-resistant come FIDO2/WebAuthn per i sistemi critici); principio del minimo privilegio per tutti gli account e i sistemi; segmentazione microscopica della rete per isolare i dispositivi IoMT e limitare il movimento laterale; monitoraggio comportamentale continuo per rilevare anomalie. Il caso Change Healthcare non può essere ripetuto: un singolo accesso Citrix senza MFA non può essere il punto di ingresso da cui si penetra un’infrastruttura critica nazionale.

  1. Supply chain security e gestione del rischio di terze parti

Il Verizon DBIR 2025 rileva che il coinvolgimento di terze parti nei breach è raddoppiato in un anno, passando dal 15% al 30%. Nel settore sanitario, l’ecosistema di fornitori comprende laboratori, studi privati convenzionati, fornitori di sistemi EHR, gestori di infrastrutture cloud, produttori di dispositivi medici connessi, sistemi di billing e assicurativi.

La gestione strutturata del rischio di terze parti, con assessment di sicurezza periodici, clausole contrattuali vincolanti su standard di sicurezza e verifica dell’allineamento normativo, deve diventare parte integrante del processo di vendor management, non un audit una tantum. NIS2 e DORA concordano su questo punto: la supply chain security non è accessoria, è strutturale.

  1. Threat intelligence e dark web monitoring

Una delle evoluzioni più significative della strategia difensiva moderna è il passaggio da un approccio reattivo (rilevare la violazione quando accade) verso uno proattivo, che include il monitoraggio attivo dei marketplace underground per individuare la comparsa di dati dell’organizzazione prima che possano essere monetizzati. Con un lifecycle medio di 279 giorni nel settore sanitario, ogni settimana di questa finestra rappresenta un’opportunità per gli attaccanti di monetizzare le identità sottratte. Ridurre questo gap attraverso il monitoraggio proattivo e procedure di incident response rapide è una delle leve più efficaci per limitare il danno economico e umano di una violazione.

  1. Il fattore umano: dalla formazione alla cultura della sicurezza

Il Verizon DBIR 2025 conferma che il phishing è rimasto il terzo vettore di accesso iniziale più comune a livello globale (16% dei breach). Il personale sanitario (medici, infermieri, personale amministrativo, tecnici di laboratorio) opera sotto pressione cognitiva costante ed è un target privilegiato per attacchi di social engineering altamente contestualizzati, oggi ulteriormente potenziati dall’IA.

I programmi di security awareness tradizionali, come l’e-learning annuale con quiz finale, non sono adeguati a questo contesto. Servono approcci diversi: simulazioni di phishing contestualizzate all’ambiente ospedaliero, training breve e ripetuto nel tempo (micro-learning), cultura del “dubbio sano” verso richieste insolite (soprattutto quelle che invocano urgenza) e canali chiari per segnalare incidenti senza timore di conseguenze. La consapevolezza che un’email convincente con il nome del proprio responsabile, costruita con dati già presenti in breach precedenti, possa essere un attacco AI-assisted è una difesa che nessun firewall può sostituire.

Una questione di priorità sistemica

Il dato sanitario è diventato, de facto, la risorsa più preziosa e più vulnerabile dell’economia dell’informazione. Non perché gli attaccanti siano diventati più abili (sebbene l’IA lo abbia certamente facilitato), ma perché il settore sanitario ha a lungo trattato la sicurezza come un costo da minimizzare anziché come un investimento strategico in continuità operativa e tutela dei pazienti.

Un segnale di cambiamento strutturale emerge dal report IBM 2025: le organizzazioni che adottano strumenti di security AI in modo estensivo riducono il lifecycle del breach di 80 giorni e risparmiano in media 1,9 milioni di dollari sui costi totali della violazione. La tecnologia è contemporaneamente il vettore dell’attacco e la risposta più efficace.

La premessa che sta cambiando, per impulso regolatorio e per la pressione degli incidenti oltre che per una crescente consapevolezza dei board, è che la cybersecurity in sanità non è più una questione tecnica delegabile all’IT. È una questione di governance, di fiducia pubblica, di continuità delle cure e, in ultima analisi, di sicurezza dei pazienti. Un dato sanitario alterato, una cartella clinica compromessa, un sistema di prescrizione sotto attacco non sono solo incidenti informatici: sono potenzialmente eventi letali.

Costruire la resilienza necessaria richiede un cambiamento di paradigma: passare da una logica di compliance reattiva a una di sicurezza by design, integrata nell’architettura dei sistemi, nei processi operativi e nella cultura organizzativa. Il dark web ha già fissato il prezzo del fallimento. Spetta alle organizzazioni sanitarie decidere se investire nella prevenzione o pagare il costo, economico, reputazionale e umano, della compromissione.

Condividi sui Social Network:

Ultimi Articoli