Mentre gli attacchi informatici diventano più mirati e sofisticati, una parte cruciale della preparazione avviene ormai ben prima che il primo virus entri in rete o che parta la prima e‑mail di phishing. È su questo terreno che Google sta cercando di spostare l’equilibrio, usando la propria intelligenza artificiale per scrutare il lato più nascosto di internet.
Gemini diventa il “detective digitale” di Google sul dark web
Google ha presentato una nuova funzione di Google Threat Intelligence alla RSA Conference 2026 di San Francisco. Al centro c’è Gemini, il modello di IA più avanzato dell’azienda, che lavora “sotto il cofano” della piattaforma e analizza in modo continuo forum, marketplace e canali di chat sul dark web.
Secondo Google, Gemini elabora ogni giorno fino a 10 milioni di messaggi e inserzioni provenienti da questi spazi nascosti. In quei flussi si trovano account violati, database rubati, malware e perfino accessi completi a reti aziendali messi in vendita.
L’obiettivo non è segnalare tutto, ma isolare proprio quei segnali che riguardano una singola organizzazione. Per riuscirci, il sistema costruisce un profilo dinamico di ogni cliente, così da capire quali conversazioni e offerte rappresentano davvero un rischio concreto.
Come Gemini costruisce il profilo di ogni organizzazione
Per affinare le sue ricerche sul dark web, la nuova funzione di Threat Intelligence elabora un quadro dettagliato dell’azienda che deve proteggere. In questo profilo Gemini prende in considerazione, tra gli altri, elementi come:
- settore e tipo di attività dell’azienda
- aree geografiche e mercati in cui opera
- tecnologie e sistemi noti in uso
- categorie di dati più appetibili per i criminali, ad esempio database clienti o proprietà intellettuale
Grazie a questo contesto, l’IA può filtrare l’enorme flusso di conversazioni e annunci e isolare i contenuti che riguardano direttamente una specifica organizzazione o realtà simili nello stesso settore.
Da indizi vaghi ad avvisi concreti
Il vero valore aggiunto sta nella capacità di collegare indizi apparentemente scollegati. Molte volte i criminali evitano di citare il nome dell’azienda presa di mira. Possono, per esempio, pubblicare annunci del tipo “accesso a una società nordamericana con 50 miliardi di dollari di asset”, senza altri riferimenti espliciti.
Dove gli strumenti di monitoraggio tradizionali tendono a ignorare messaggi di questo genere, Gemini prova a riconoscere pattern dietro quelle descrizioni. L’IA collega le informazioni contenute nei post del dark web con dati pubblici, come bilanci, report di mercato e statistiche demografiche, per stimare quale azienda sia probabilmente l’obiettivo.
Un’analisi che per un team umano richiederebbe ore, viene eseguita da Gemini in pochi secondi, generando subito una segnalazione ad alta priorità quando l’indizio appare credibile.
Per i team di sicurezza questo significa avere un sospetto fondato molto prima che l’attacco venga lanciato. C’è quindi tempo per revocare password, limitare diritti di accesso o aumentare il monitoraggio dei sistemi critici prima che il piano criminale arrivi a compimento.
Meno allarmi inutili grazie al 98% di accuratezza
Molti reparti di cybersecurity non soffrono per mancanza di dati, ma per un eccesso di alert che poi si rivelano innocui. I sistemi tradizionali possono generare migliaia di notifiche al giorno, di cui solo una piccola parte è davvero urgente.
Test interni, citati da varie testate specializzate, indicano che Gemini riesce a selezionare le minacce rilevanti con un’accuratezza di circa 98%. Questo si traduce in meno falsi positivi e meno tempo sprecato su segnalazioni irrilevanti.
L’IA non valuta solo il contenuto del singolo messaggio, ma osserva anche l’andamento nel tempo: chi lo pubblica, in quale contesto, come si collega alle attività precedenti dello stesso utente o gruppo, e se rientra nello schema di campagne già note di bande di cybercriminali.
Questa focalizzazione dovrebbe ridurre in modo significativo il carico di lavoro dei team di sicurezza. Gli analisti possono concentrarsi sulle notifiche che contano davvero, invece di passare le giornate a setacciare log e avvisi solo parzialmente pertinenti.
Un sistema auto‑apprendente che si adatta a ogni azienda
La configurazione iniziale non è un punto di arrivo. Il profilo dell’organizzazione viene aggiornato continuamente in base alle reazioni del team di sicurezza alle varie segnalazioni. Se certi tipi di allarme vengono sistematicamente classificati come a basso rischio, Gemini ne riduce il peso nelle sue analisi future.
Al contrario, se i team reagiscono sempre con urgenza a un determinato tipo di minaccia, l’IA inizierà a dare loro priorità più alta. In questo modo il servizio evolve insieme alla percezione del rischio e all’esperienza operativa di ogni singola azienda.
Al posto di elenchi statici di parole chiave, prende forma una sorta di collega digitale flessibile, che impara da ogni clic e da ogni decisione dell’analista. È una differenza sostanziale rispetto alle soluzioni più datate, che dipendono da regole e termini di ricerca aggiornati a mano e spesso non tengono il passo con nuove tecniche di attacco o con il gergo in evoluzione sul dark web.
Verso una cybersecurity sempre più autonoma
Le scansioni del dark web sono solo un tassello di una strategia più ampia con cui Google punta ad automatizzare molte attività di difesa. All’interno di Google Security Operations, la piattaforma pensata per i team di sicurezza, l’azienda vuole introdurre agenti autonomi.
Questi agenti svolgono indagini in modo indipendente a partire dagli alert ricevuti. Raccolgono log da diversi sistemi, individuano correlazioni, redigono un’analisi strutturata e propongono azioni concrete, come isolare un server, bloccare un account utente o generare automaticamente nuove regole per il firewall.
Nel tempo, sempre più fasi della gestione degli incidenti potrebbero svolgersi senza intervento umano diretto. Le persone si sposterebbero così verso un ruolo di supervisione e di decisione strategica, invece di agire come “primo soccorso” operativo per ogni singola segnalazione.
Perché il dark web è così difficile da monitorare
Con “dark web” si indicano porzioni del web accessibili solo tramite software specifici, come i browser che utilizzano la rete Tor. Questo ambiente viene sfruttato da criminali e gruppi organizzati per scambiarsi dati rubati, pianificare attacchi e condividere competenze in modo anonimo.
Per una normale organizzazione è praticamente impossibile mappare manualmente questo ecosistema. Forum che spariscono, nuovi marketplace che nascono, accessi che cambiano di continuo, conversazioni in lingue diverse e in gergo cifrato rendono il monitoraggio un compito enorme.
Modelli di IA come Gemini sono invece progettati per gestire grandi volumi di dati complessi. Possono riconoscere pattern nel linguaggio, nelle relazioni fra utenti e nella struttura delle offerte. Così emergono attività sospette che, a un primo sguardo umano, potrebbero sembrare insignificanti.
Vantaggi, rischi e cosa possono fare oggi le aziende
Per le realtà con team di sicurezza ridotti, un servizio di questo tipo può rappresentare un potenziamento significativo. Ricevono segnali precoci su possibili fughe di dati o su piani per violare la loro rete, senza dover mettere in piedi internamente un reparto di analisti dedicati al dark web.
Per sfruttare davvero queste informazioni, però, le aziende devono avere solide basi di sicurezza. Senza un quadro chiaro dei sistemi critici, dei dati sensibili e dei diritti di accesso esistenti, anche la migliore threat intelligence ha un impatto limitato.
Tra le misure pratiche più immediate rientrano: mantenere un inventario aggiornato degli asset, rafforzare la gestione degli accessi con autenticazione a più fattori, e definire procedure chiare su cosa fare quando arriva una notifica che indica la presenza del nome dell’azienda in un annuncio sul dark web.
Per molte organizzazioni, quindi, la threat intelligence guidata dall’IA non sostituirà le difese esistenti, ma costituirà un ulteriore strato di protezione. Una sorta di cane da guardia digitale che pattuglia le zone d’ombra, mentre il team interno continua a controllare serrature, sistemi di allarme e processi di risposta agli incidenti.
FAQ
Il monitoraggio del dark web con IA sostituisce i team di sicurezza interni?
No, la funzione presentata da Google è pensata come supporto, non come sostituzione. L’IA segnala in anticipo potenziali minacce e riduce il numero di falsi allarmi, ma le decisioni operative e strategiche restano in mano ai professionisti della sicurezza, che devono valutare il contesto aziendale e scegliere le contromisure più appropriate.
Le piccole e medie imprese possono trarre vantaggio da questi strumenti?
Sì, soprattutto le organizzazioni con risorse limitate possono beneficiare di un sistema che automatizza la raccolta di segnali dal dark web. Tuttavia, l’efficacia dipende dalla presenza di misure di base come inventario degli asset, controllo degli accessi e procedure di risposta agli incidenti: senza queste fondamenta, anche gli avvisi più precisi rischiano di non tradursi in azioni utili.
