È arrivato il primo virus che usa l’intelligenza artificiale per decidere da solo cosa attaccare. Non servono più hacker esperti: ASGARD: il mercato nero dei conti bancari italiani. Quando l’identità digitale diventa merce di scambio
Dentro alcuni forum underground del dark web circola un nome che, negli ultimi mesi, è diventato un marchio di riferimento per il cybercrime: ASGARD. Non è una sigla, non è un gruppo strutturato nel senso tradizionale. È un “negozio”, come lo definiscono loro stessi, dove i conti correnti italiani ed europei vengono venduti con la stessa semplicità con cui si acquista un servizio in abbonamento.
Il materiale promozionale è curato, spesso professionale, e racconta una realtà scomoda: gli account non sono recuperati o riciclati. Sono conti veri, già attivi, pronti per essere utilizzati in traffici finanziari illeciti. L’indagine condotta grazie alla piattaforma di Cyber Threat Intelligence di Swascan ha stimato circa 48.565 conti correnti italiani disponibili all’acquisto. Solo nel 2023 le credenziali bancarie italiane vendute hanno superato quota 28.700, con un aumento del 45% rispetto all’anno precedente: un identità digitale, oggi, ha un prezzo che oscilla tra gli 80 e i 650 dollari.
Il mercato funziona perché le fonti di approvvigionamento sono ormai stabili e diversificate, la più insidiosa riguarda i conti aperti utilizzando identità rubate: documenti e dati personali sottratti tramite phishing, data breach o acquistati in blocco da altri criminali. In questi casi, la vittima scopre la frode troppo tardi, spesso quando una Procura o la Guardia di Finanza la contatta per segnalare movimentazioni sospette a suo nome.
Accanto alle identità rubate c’è il sistema delle “mule finanziarie”, persone che prestano — o vendono — le proprie generalità per aprire conti destinati a fungere da cuscinetto. Infine, il livello più alto: i conti aziendali fittizi. Qui l’operazione diventa industriale. Aziende inesistenti, società dormienti, partite IVA comprate e rivendute come contenitori vuoti. Un conto aziendale, per definizione, permette volumi e giustificazioni molto più ampi. È lo strumento perfetto per chi deve spostare denaro su larga scala senza attirare attenzione immediata.
Attorno ad ASGARD si muove un ecosistema più ampio, descritto anche dall’IOCTA Europol 2025: un mondo in cui il cybercrime non è più artigianale ma bensì un servizio.
Kit di phishing pronti all’uso, infostealer automatici, manuali operativi scritti come tutorial.
Gli “Automated Vending Carts”, negozi automatici del crimine, hanno eliminato l’ultimo ponte tra acquirente e venditore: scegli il conto, paghi in crypto, scarichi le credenziali. Nessuna chat. Nessuna trattativa. Nessuna barriera.
A rendere tutto più efficace c’è l’intelligenza artificiale: email di phishing perfette, messaggi credibili, identità sintetiche, manipolazioni linguistiche senza errori. Non serve più essere un hacker. Serve solo volerlo diventare.
In questo scenario, i cittadini e le aziende italiane sono esposti come mai prima.
Un singolo documento rubato può generare un conto corrente fantasma. Una disattenzione può consegnare alla criminalità accessi sensibili. Un errore procedurale può trasformare un’azienda in un ingranaggio inconsapevole di uno schema di riciclaggio internazionale.
Ed è qui che entra in gioco la questione cruciale: non è più sufficiente proteggere i propri sistemi. Oggi bisogna proteggere anche la propria identità digitale, perché è diventata un bene commerciabile.
Cosa possiamo fare per te?
3Tech interviene proprio in questo punto cieco, le aziende che usano il nostro Dark Web Monitoring scoprono tempestivamente se email interne, credenziali, password o informazioni sensibili compaiono nei marketplace sotterranei. Il controllo non avviene una volta all’anno: è continuo, quando qualcosa appare, l’azienda lo sa prima che venga sfruttato.
Il lavoro procede poi con verifiche tecniche reali: vulnerability assessment e penetration test sugli ambienti che gestiscono pagamenti, accessi bancari e sistemi finanziari. Non per dire “sei vulnerabile”, ma per indicare cosa può essere sfruttato, da chi e con quale livello di rischio. Allo stesso tempo, si rafforzano gli accessi critici con sistemi di autenticazione avanzati, privilegi ridotti al minimo, controlli contestuali che rilevano anomalie comportamentali.
Per monitorare i flussi sensibili, i sistemi SIEM identificano in tempo reale accessi da luoghi insoliti, transazioni anomale, pattern che non dovrebbero verificarsi: quando succede, scatta un alert immediato.
Poi c’è la parte più umana, formare chi gestisce i soldi, ovvero dove i criminali colpiscono di più: email fasulle del titolare, ordini di pagamento, documenti manipolati. Se chi lavora nell’amministrazione sa riconoscere una trappola, una parte del rischio scompare.
Infine, quando qualcosa va storto — e prima o poi succede a tutti — l’azienda deve sapere esattamente cosa fare nelle prime due ore. Chi contattare. Cosa bloccare. Come evitare il danno irreversibile. È per questo che esistono procedure di incident response dedicate ai conti compromessi.
La verità è semplice e dura:
nel 2025 la minaccia più grande non è essere attaccati, ma essere usati senza saperlo.
E oggi chi non controlla la propria identità digitale rischia di scoprire troppo tardi che qualcun altro, nel frattempo, l’ha già messa in vendita. Chi aspetta, rischia di scoprirlo troppo tardi.
