Immaginiamo di dover sorvegliare un mercato clandestino che non ha un indirizzo fisso, cambia continuamente nome e lingua, si nasconde dietro strati di anonimizzazione e ospita milioni di conversazioni al giorno tra criminali di ogni latitudine: questo è il Dark Web e questo è esattamente il problema che i team di threat intelligence affrontano ogni giorno.

Fino a oggi, la risposta prevalente era affidarsi a ricerche per parole chiave che, però, generavano falsi positivi nell’ordine del 90%: nove segnalazioni su dieci da ignorare, con il rischio costante che la decima – quella vera – si perdesse nel mucchio.

Google ha deciso che è ora di cambiare approccio e il 23 marzo 2026, in occasione della RSA Conference, ha annunciato l’integrazione di Gemini all’interno di Google Threat Intelligence (GTI) con una capacità inedita: il monitoraggio autonomo e contestuale del Dark Web, disponibile in public preview.

Non si tratta di un restyling di strumenti esistenti, ma di qualcosa di strutturalmente diverso per cui vale la pena capire esattamente cosa cambia e cosa no.

Come funziona: dall’analisi delle keyword all’intelligenza contestuale

Il meccanismo alla base della nuova funzionalità di Gemini per il monitoraggio del Dark Web è concettualmente semplice quanto efficace.

I sistemi tradizionali di dark web monitoring funzionano come un motore di ricerca primitivo: cercano corrispondenze esatte con parole chiave predefinite come il nome dell’azienda, i domini e i brand. Se un attore criminale evita deliberatamente di citare il nome della vittima (pratica comune tra i broker di accesso iniziale che vogliono proteggersi da occhi indesiderati) il sistema semplicemente non trova nulla.

Gemini adotta un approccio radicalmente diverso. Invece di cercare corrispondenze testuali, costruisce autonomamente un profilo organizzativo a partire da dati open source e input forniti dall’utente: dimensione dell’azienda, settore, tecnologie adottate, presenza geografica, figure chiave.

Questo profilo viene poi usato come base di confronto vettoriale rispetto ai contenuti indicizzati sul Dark Web.

Il caso d’uso illustrato da Google nel blog ufficiale è illuminante: un broker di accesso pubblica su un forum underground la disponibilità di credenziali VPN attive verso un importante retailer europeo con 15 miliardi di euro di fatturato, senza mai citare il nome dell’azienda. Un sistema basato su keyword non lo rileva. Gemini sì: incrocia la fascia di fatturato, la localizzazione geografica e i tipi di portali menzionati (payroll, logistica) con il profilo aziendale, identifica la corrispondenza con una sussidiaria del gruppo e lancia l’allerta prima che il broker trovi un acquirente.

I numeri dichiarati da Google (e sintetizzati nella tabella sottostante) sono significativi: 8-10 milioni di eventi Dark Web analizzati ogni giorno, con un tasso di accuratezza del 98% nei test interni. Il profilo organizzativo si aggiorna in modo autonomo, senza che il team debba intervenire manualmente a ogni modifica dell’infrastruttura o del perimetro aziendale.

A completare il quadro, l’integrazione con il Google Threat Intelligence Group (GTIG) che traccia attivamente 627 gruppi di minacce distinti.

Fonte: Google Cloud Blog, CybersecurityNews. Elaborazione: Cybersecurity360.it.

Analisi: cosa cambia davvero per le organizzazioni

Per chi lavora nella threat intelligence, questa novità ha un peso specifico difficile da ignorare. Il problema del rapporto segnale/rumore nel monitoraggio del dark web non è un dettaglio operativo: è il motivo per cui molte organizzazioni, anche quelle con team di sicurezza strutturati, finiscono per trattare il dark web monitoring come un esercizio di conformità piuttosto che come una fonte di intelligence actionable.

Il vantaggio concreto: dalla reazione all’anticipazione

Se il sistema funziona come descritto, l’impatto operativo è sostanziale. Oggi la finestra temporale tra la comparsa di un’offerta di accesso su un forum underground e il momento in cui un’organizzazione ne viene a conoscenza, ammesso che ne venga a conoscenza, può essere di giorni o settimane.

Ridurre questa latenza significa spostare la postura da reattiva a preventiva: il team di sicurezza può avviare l’analisi forense, revocare le credenziali compromesse e notificare le parti interessate prima che l’accesso venga effettivamente venduto e sfruttato.

Il nodo critico: la dipendenza da un’unica piattaforma

C’è però una questione che non si può non sollevare: questa soluzione richiede che un’organizzazione consegni a Google un profilo dettagliato di sé stessa con indicazioni delle tecnologie adottate, delle infrastrutture, delle figure chiave, del brand e della presenza geografica.

Lo stesso profilo che Gemini usa per correlare le minacce è, in sostanza, una mappa della superficie di attacco aziendale.

Non si tratta di un’accusa: Google è un vendor con solide policy di sicurezza e una reputazione da proteggere. Ma è una considerazione che ogni CISO e DPO dovrebbe formalizzare prima di adottare il servizio.

In termini di GDPR e di gestione del rischio della supply chain, occorre valutare con attenzione quali dati vengono effettivamente trasmessi, come vengono conservati, per quanto tempo e con quali garanzie di non riutilizzo per finalità di training dei modelli.

Il rischio della monocultura tecnologica

C’è poi un secondo piano di analisi, più strutturale. La concentrazione di capacità di threat intelligence su un numero ristretto di grandi piattaforme come quella di Google crea un rischio sistemico che il settore tende a sottovalutare.

Quando un singolo vendor controlla sia l’infrastruttura cloud su cui girano i sistemi aziendali, sia la piattaforma di threat intelligence che monitora le minacce a quell’infrastruttura, il perimetro di autonomia decisionale dell’organizzazione si restringe significativamente.

Non è un problema insormontabile, ma va gestito consapevolmente.

Cosa fare: indicazioni pratiche per le organizzazioni

Indipendentemente dalla scelta di adottare o meno Google Threat Intelligence, questa notizia è l’occasione giusta per fare un punto sulla maturità del proprio programma di dark web monitoring.

Ecco alcuni consigli concreti.

Per le organizzazioni che stanno valutando l’adozione

• Fare una due diligence sul trattamento dei dati. Prima di attivare il servizio, richiedere a Google documentazione esplicita su quali dati vengono inviati per la costruzione del profilo, se e come vengono usati per il training di Gemini, dove vengono conservati (data residency) e quali diritti di cancellazione e portabilità si hanno a disposizione.
• Non eliminare gli altri strumenti di monitoring. Un tasso di accuratezza del 98% nei test interni è promettente, ma i test interni non replicano la complessità e l’evoluzione continua del Dark Web reale. È dunque utile mantenere almeno un secondo layer di monitoring indipendente, anche open source come OnionScan o strumenti basati su Tor, per non creare un single point of failure nella propria intelligence.
• Definire un processo di escalation chiaro. Lo strumento più potente del mondo è inutile se l’allerta generata finisce in una coda di ticketing non presidiata. Prima di attivare il servizio, occorre definire chi riceve le notifiche, entro quanto tempo deve rispondere, quali azioni deve intraprendere e chi ha l’autorità di decidere l’escalation verso il board o le autorità.
• Valutare l’impatto sulla supply chain. Se l’organizzazione ha un ecosistema di partner, fornitori e clienti è necessario considerare se e come estendere il monitoring anche ai soggetti terzi più critici. Una violazione che inizia da un fornitore e si propaga verso l’organizzazione attraverso una VPN condivisa è un vettore reale e frequente.

Per chi non ha ancora un programma strutturato di dark web monitoring

Ricordiamo che il monitoraggio del dark web non è un’attività riservata alle grandi Enterprise: anche le PMI sono target frequenti proprio perché spesso non sanno di essere state compromesse fino a quando le credenziali dei loro dipendenti non vengono usate in un attacco.

Ecco, quindi, alcune azioni di base accessibili a qualsiasi organizzazione:

• Verificare periodicamente le email su Have I Been Pwned. Il servizio gratuito di Troy Hunt indicizza miliardi di credenziali emerse da data breach pubblici. Impostate le notifiche per i vostri domini aziendali.
• Monitorare le menzioni del vostro brand su Shodan e Censys. Questi motori di ricerca per dispositivi e servizi esposti su internet possono rivelare asset dimenticati o mal configurati che un attaccante potrebbe già aver censito.
• Adottare un password manager aziendale e l’autenticazione a più fattori ovunque. La stragrande maggioranza delle credenziali vendute sul dark web è sfruttabile solo perché le password vengono riutilizzate su più servizi o perché manca il secondo fattore. Risolvere questo problema è più urgente di qualsiasi strumento di monitoring.
• Considerare i servizi di dark web monitoring inclusi in molte soluzioni EDR/XDR. Prima di valutare soluzioni Enterprise, verificare se la propria piattaforma di endpoint detection già include capacità di dark web monitoring: spesso sono presenti ma non attivate.

L’AI nel Dark Web cambia le regole del gioco, non la partita

L’integrazione di Gemini nel dark web monitoring è un passo significativo nel panorama della threat intelligence: ridurre il rumore da un tasso del 90% di falsi positivi a una precisione del 98% non è un miglioramento marginale, ma fa la differenza tra uno strumento inutilizzabile nella pratica quotidiana e uno che può effettivamente cambiare la postura difensiva di un’organizzazione.

Ma sarebbe un errore leggere questa notizia come la soluzione al problema. Il dark web non è un problema tecnico che si risolve con un algoritmo sufficientemente potente: è il riflesso di un ecosistema criminale adattivo, che cambierà le proprie tattiche in risposta a strumenti di rilevamento più sofisticati.

Ciò che rimane costante e che nessun modello di AI può sostituire è la capacità di un’organizzazione di comprendere la propria superficie di rischio, di costruire processi di risposta agli incidenti che funzionano sotto pressione e di mantenere quella cultura della sicurezza che trasforma ogni dipendente in un sensore attivo piuttosto che in un vettore inconsapevole.

Gemini sul Dark Web è un ottimo strumento. Ma gli strumenti sono efficaci solo quando c’è qualcuno che sa come usarli e cosa fare quando scattano.