- Tor, la crittografia PGP e sistemi operativi come Tails garantiscono l'anonimato e l'infrastruttura tecnica del dark web, separando nettamente i servizi nascosti (.onion) dal web di superficie (clearnet) e dal deep web.
- L'economia dei marketplace si basa su forum reputazionali (Dread) e transazioni protette da depositi (escrow), ma è instabile a causa delle frequenti truffe dei gestori stessi e del passaggio a Monero per impedire la tracciabilità.
- Le forze dell'ordine contrastano questi network usando la blockchain forensics (Chainalysis) e operazioni sotto copertura coordinate.
Chi legge notizie su marketplace darknet, operazioni Europol o criptovalute associate a traffici illegali si trova di fronte a un lessico preciso e spesso dato per scontato. Termini come OPSEC, escrow, exit scam, PGP, honeypot o stealer log appaiono nei report di Chainalysis, negli atti giudiziari e nelle analisi di sicurezza senza spiegazioni di corredo. Questo glossario del dark web raccoglie tutti i termini rilevanti, organizzati per area tematica.
Non è un elenco neutro. Ogni termine viene contestualizzato nel modo in cui viene effettivamente usato, con esempi dove servono.
Indice
Glossario del dark web – Infrastruttura tecnica
Tor (The Onion Router): rete di anonimizzazione nata nel 2002 come progetto della U.S. Navy in collaborazione con DARPA, oggi gestita dal Tor Project (organizzazione no-profit). Instrada il traffico attraverso una catena di tre relè volontari distribuiti in paesi diversi, ognuno dei quali rimuove un livello di crittografia. Il nome deriva dall’analogia con gli strati di una cipolla. Se volete approfondire il tema nel dettaglio, potete leggere il nostro articolo sul come funziona Tor.
Onion routing: il meccanismo crittografico alla base di Tor. Ogni pacchetto di dati viene cifrato in strati multipli prima di partire, e ogni relè intermedio può rimuovere solo il suo strato, vedendo esclusivamente il nodo precedente e il successivo, mai la sorgente originale né la destinazione finale.
Guard node (entry node): il primo relè nella catena Tor. È l’unico nodo che conosce l’indirizzo IP reale dell’utente, ma non sa cosa viene richiesto perché i dati sono ancora cifrati. Viene selezionato e mantenuto per settimane per ridurre la probabilità di incontro con nodi malevoli.
Middle node: il relè centrale della catena Tor. Non conosce né l’IP del mittente né la destinazione finale. Vede solo due nodi adiacenti e traffico cifrato.
Exit node: il relè finale. Rimuove l’ultimo strato di crittografia e invia la richiesta al sito di destinazione. Sa cosa viene richiesto (il sito) ma non sa chi lo sta richiedendo. È il nodo più delicato della rete e il più soggetto a monitoraggio da parte di agenzie di intelligence.
Indirizzi .onion: identificatori di servizi ospitati su Tor. Non sono nomi di dominio tradizionali registrati presso ICANN, ma chiavi crittografiche pubbliche (algoritmo ed25519) codificate in base32, composte da 56 caratteri casuali più il suffisso .onion. Si autenticano crittograficamente: connettersi a un .onion garantisce di essere sul servizio corretto, senza bisogno di certificati SSL esterni.
DHT (Distributed Hash Table): tabella distribuita interna alla rete Tor dove i servizi .onion pubblicano i propri descriptor firmati crittograficamente. Quando un client vuole visitare un .onion, consulta la DHT per trovare la lista degli introduction point del servizio.
Introduction point: relè Tor che funge da punto di contatto per un servizio .onion. Il servizio sceglie tre introduction point casuali e li notifica alla DHT. Un client che vuole connettersi si presenta a uno di questi introduction point per avviare la negoziazione.
Rendezvous point: relè Tor scelto dal client come punto di incontro con il servizio. Il client lo propone tramite l’introduction point, il servizio costruisce un circuito verso il rendezvous point, e la connessione avviene senza che né il client né il servizio conoscano l’IP dell’altro.
Clearnet: il web normale, accessibile senza strumenti di anonimizzazione. Surface web e deep web fanno parte del clearnet. Usato nel dark web come contrario di .onion.
Surface web: la porzione di Internet indicizzata dai motori di ricerca. Circa il 5-10% del contenuto totale online.
Deep web: tutto il contenuto online non indicizzato dai motori di ricerca. Caselle email, dashboard bancarie, intranet aziendali, cartelle cliniche, Drive personali. Circa il 90% di Internet. Non ha nulla a che fare con il dark web, nonostante la confusione nei media.
Dark web: piccola frazione del deep web deliberatamente nascosta dietro reti di anonimizzazione come Tor. Ospita servizi .onion, legali e illegali.
I2P (Invisible Internet Project): alternativa a Tor. Rete di anonimizzazione peer-to-peer con architettura diversa, orientata principalmente alla comunicazione interna alla rete stessa. Meno popolare di Tor per l’accesso al web esterno.
Freenet: terza alternativa, orientata alla distribuzione decentralizzata di contenuti resistente alla censura. Diversa da Tor nella struttura: i dati vengono distribuiti e memorizzati in frammenti cifrati sui nodi partecipanti.
Tails: sistema operativo live basato su Debian, progettato per massimizzare l’anonimato. Si avvia da chiavetta USB, instrada tutto il traffico attraverso Tor, non lascia tracce sul disco dell’host. Standard de facto per chi opera nel dark web in modo strutturato.
Whonix: sistema operativo in due macchine virtuali separate: una gestisce solo la connessione Tor, l’altra ospita le applicazioni dell’utente. Anche in caso di compromissione della macchina applicativa, l’IP reale non viene esposto. Alternativa a Tails per chi non vuole usare sistemi live.
Tor Browser: versione modificata di Firefox configurata per instradare il traffico attraverso Tor. Per la maggior parte degli utenti è il punto di accesso al dark web. Non richiede competenze tecniche particolari per l’uso base.
Mirror .onion: replica di un sito clearnet accessibile via Tor. New York Times, BBC, Facebook, DuckDuckGo mantengono mirror .onion ufficiali per utenti in paesi con censura. Da non confondere con i mirror malevoli (vedi sotto).
Mirror malevolo (clone): copia fraudolenta di un marketplace o forum darknet creata per rubare credenziali o criptovalute agli utenti. Uno dei vettori di phishing più diffusi nel dark web. Le firme PGP degli admin ufficiali sono il principale strumento di difesa contro questi attacchi.
Glossario del dark web – Community e comunicazione
Dread: forum darknet stile Reddit, nato nel 2018. Hub centrale di coordinamento per l’economia dei marketplace darknet. Non vende nulla, ma ospita recensioni di vendor, allerte truffa, annunci di nuovi market, discussioni operative. I gruppi ransomware lo usano per reclutare affiliati e pubblicare leak di dati. Operativo nel 2026 nonostante ripetuti attacchi DDoS e downtime.
Karma: sistema di punteggio reputazionale su Dread e altri forum darknet, che funziona analogamente a quello presente su Reddit. Riflette l’affidabilità dell’utente nel tempo. I vendor con karma alto su Dread possono migrare tra marketplace portando con sé credibilità accumulata.
Vendor: termine per chi vende prodotti o servizi su un marketplace darknet. I vendor si registrano con un nickname, pagano un bond di sicurezza, accumulano recensioni, e costruiscono reputazione nel tempo. La reputazione è l’asset più prezioso in un ambiente dove non esistono protezioni legali.
Vouching: pratica in cui un utente già fidato garantisce per un nuovo utente, permettendogli l’accesso a marketplace o community invite-only. Meccanismo di filtraggio della fiducia.
Marketplace invite-only: marketplace accessibile solo su invito di un membro esistente. Risposta all’aumento dei takedown e all’infiltrazione delle forze dell’ordine. Più difficile da scalare ma strutturalmente più sicuro.
PGP (Pretty Good Privacy): sistema di crittografia asimmetrica progettato nel 1991 da Phil Zimmermann. Standard di comunicazione del dark web. Permette di cifrare messaggi (solo il destinatario può decifrarli), verificare identità (le chiavi PGP funzionano come identità persistenti) e firmare messaggi pubblici (gli admin firmano gli annunci ufficiali con la chiave del market).
GnuPG: implementazione open source di PGP, la più usata nel dark web. Software gratuito, multipiattaforma.
Chiave pubblica PGP: metà della coppia crittografica PGP. Viene condivisa pubblicamente nel proprio profilo. Chiunque la usi può cifrare messaggi che solo il possessore della chiave privata può decifrare.
Chiave privata PGP: l’altra metà della coppia. Non viene mai condivisa. Protetta da una passphrase. La perdita o la compromissione della chiave privata è una delle cause più comuni di deanonimizzazione nel dark web.
Fingerprint PGP: stringa esadecimale breve che identifica univocamente una chiave PGP. Si usa per verificare che la chiave pubblica ricevuta corrisponda davvero alla persona attesa, difesa contro gli attacchi man-in-the-middle.
Firma digitale: meccanismo PGP che permette di verificare l’autenticità di un messaggio. Chi firma usa la propria chiave privata; chiunque può verificare con la chiave pubblica corrispondente. Gli annunci ufficiali dei marketplace vengono firmati digitalmente per prevenire l’impersonazione.
SecureDrop: sistema open source per la comunicazione anonima con le redazioni giornalistiche, basato su Tor. Usato da New York Times, Washington Post, The Guardian, ProPublica, BBC e decine di altre testate. Esempio di uso legittimo e importante di Tor.
Warrant canary: dichiarazione periodica pubblicata da un servizio che attesta di non aver ricevuto ordini giudiziari segreti (come National Security Letters negli USA). Se la dichiarazione smette di apparire, si inferisce che il servizio ha ricevuto una citazione che non può divulgare pubblicamente. Usato da alcuni marketplace darknet come segnale indiretto agli utenti.
Stilometria: analisi linguistica computazionale che identifica un autore dall’analisi del suo stile di scrittura (scelte lessicali, struttura delle frasi, punteggiatura, errori tipici). Usata dalle forze dell’ordine per collegare nickname darknet a identità reali attraverso testi scritti su clearnet. Ross Ulbricht fu parzialmente identificato anche attraverso questo metodo.
Glossario del Dark Web – Economia e marketplace
Escrow: meccanismo di deposito in garanzia. In un marketplace darknet, il compratore versa i fondi su un conto controllato dal marketplace, il vendor riceve la notifica dell’ordine, spedisce la merce, e solo dopo la conferma di ricezione da parte del compratore i fondi vengono rilasciati al vendor. Protegge il compratore dalle truffe. L’escrow dei marketplace è anche il contenuto principale degli exit scam.
Finalize Early (FE): quando il compratore rilascia i fondi dall’escrow prima di ricevere la merce, su richiesta del vendor. I vendor di alto livello lo richiedono come segno di fiducia. Aumenta il rischio per il compratore. Cresce nei periodi di sospetto honeypot perché riduce i fondi trattenuti centralmente.
Multisig: sistema di escrow basato su firma multipla crittografica. I fondi vengono sbloccati solo con la firma di due su tre parti (compratore, vendor, marketplace). Elimina la possibilità di exit scam da parte del marketplace perché non detiene mai il controllo unilaterale dei fondi.
Bond (vendor bond): deposito in criptovaluta che i vendor pagano al marketplace per ottenere il diritto di vendere. Funge da garanzia contro comportamenti scorretti. Va da poche centinaia a diverse migliaia di dollari a seconda del marketplace e del livello di accesso.
Exit scam: chiusura fraudolenta di un marketplace da parte dei gestori, che spariscono portando via i fondi degli utenti in escrow. Uno dei due modi in cui termina quasi ogni marketplace darknet. Abacus Market ha fatto exit scam nel 2025 con stime tra 300 e 400 milioni di dollari.
Takedown: chiusura forzata di un marketplace da parte delle forze dell’ordine. Prevede il sequestro dei server, l’identificazione e l’arresto dei gestori, spesso preceduti da un periodo di operazione sotto copertura (vedi honeypot). L’altro modo in cui terminano i marketplace.
Honeypot: operazione in cui le forze dell’ordine prendono il controllo di un marketplace senza renderlo pubblico, mantenendolo operativo per raccogliere dati su vendor e clienti. Il caso scuola è Hansa Market nel 2017: la polizia olandese lo ha gestito segretamente per 26 giorni dopo il sequestro, registrando migliaia di transazioni e indirizzi di consegna.
Chicken-and-egg problem: il problema del bootstrap dei marketplace. Senza vendor attivi non arrivano compratori, senza compratori non arrivano vendor. La maggior parte dei marketplace fallisce in questa fase iniziale.
Stealer log: raccolta di dati sottratti da malware stealer, che registrano credenziali, cookie di sessione, informazioni bancarie e altri dati dal dispositivo infetto. Venduti sui marketplace darknet da pochi dollari a diverse centinaia, a seconda del profilo della vittima.
Credential stuffing: attacco che utilizza credenziali rubate (spesso acquistate su marketplace darknet) per tentare l’accesso ad account su altri servizi, contando sul fatto che molti utenti riusano le stesse password.
Darknet market (DNM): termine generale per un marketplace del dark web che media transazioni illegali. Usato nelle analisi di Chainalysis, TRM Labs e nei report di law enforcement.
Glossario del dark web – Criptovalute e tracciabilità
Bitcoin: criptovaluta dominante nelle transazioni darknet fino a qualche anno fa. Pseudonimo ma non anonimo: tutte le transazioni sono registrate sulla blockchain pubblica e tracciabili con strumenti di blockchain forensics. Il suo uso nei marketplace darknet si è ridotto a vantaggio di Monero.
Monero (XMR): criptovaluta privacy-by-default. A differenza di Bitcoin, oscura nativamente mittente, destinatario e importo di ogni transazione usando tecnologie come ring signatures, stealth addresses e RingCT. Il 75% delle transazioni di Abacus Market era in Monero, scelto proprio per rendere il recupero dei fondi impossibile dopo l’exit scam.
Privacy coin: categoria che include Monero (XMR) e altre criptovalute progettate per rendere le transazioni non tracciabili. Monero è la più usata nel dark web perché è la più matura e la più difficile da tracciare anche per le agenzie investigative.
Mixer (tumbler): servizio che mescola Bitcoin di diversi utenti per interrompere il collegamento tra indirizzo di origine e indirizzo di destinazione sulla blockchain. Tecnica di offuscamento in calo di uso perché i principali mixer sono stati sequestrati dalle autorità (ChipMixer nel 2023, Tornado Cash) e perché Monero offre privacy nativa senza bisogno di mixing.
Blockchain forensics: analisi delle transazioni su blockchain pubblica per tracciare movimenti di fondi tra indirizzi, identificare cluster di indirizzi appartenenti allo stesso utente, e collegare transazioni blockchain a identità reali. Le principali aziende del settore sono Chainalysis, TRM Labs ed Elliptic, che forniscono strumenti a forze dell’ordine e istituzioni finanziarie.
Chainalysis: azienda di blockchain forensics fondata nel 2014. Pubblica il Crypto Crime Report annuale, il riferimento principale per i dati sull’economia darknet. Fornisce strumenti investigativi a Europol, FBI e IRS. Il suo 2026 Crypto Crime Report stima 2,6 miliardi di dollari in transazioni darknet nel 2025.
TRM Labs: altra azienda di blockchain forensics, concorrente di Chainalysis. Pubbblica analisi specifiche sui darknet market, inclusi i dati sui volumi di Abacus e Archetyp.
Elliptic: terza azienda di blockchain forensics, orientata in particolare al mercato europeo e al compliance bancario.
OSINT (Open Source Intelligence): intelligence raccolta da fonti aperte e pubblicamente accessibili. Nel contesto dei takedown darknet, include analisi di forum, social media, blockchain pubblica, registri di dominio, metadati di file, storia di nickname usati in contesti diversi. Una parte importante di ogni indagine darknet si basa su OSINT prima che su intercettazioni o infiltration.
Glossario del dark web – Sicurezza operativa e OPSEC
OPSEC (Operational Security): insieme di pratiche con cui un operatore del dark web cerca di non essere identificato. Include la scelta del sistema operativo, la gestione delle chiavi PGP, l’igiene dei nickname, la separazione fisica e logica delle attività darknet da quelle clearnet, la gestione delle criptovalute.
LE: abbreviazione inglese per Law Enforcement, ossia Forze dell’Ordine.
Kill switch: meccanismo automatico di cancellazione dei dati sensibili in caso di accesso non autorizzato al sistema. Usato dagli admin di marketplace per distruggere prove in caso di raid. Può essere software (cancellazione automatica al rilevamento di accesso anomalo) o fisico (interruzione dell’alimentazione del server).
Deanonimizzazione: processo con cui viene stabilita la connessione tra un’identità darknet (nickname, chiave PGP) e un’identità reale. Nella maggior parte dei casi documentati non è avvenuta attraverso vulnerabilità di Tor, ma attraverso errori OPSEC: stesso nickname usato in contesti diversi, metadati nei file condivisi, errori nella gestione delle chiavi PGP, uso di indirizzi email personali.
Stanchezza operativa: causa più comune dei fallimenti OPSEC. Mantenere disciplina operativa perfetta per anni è cognitivamente esaustivo. Prima o poi ogni operatore commette un errore. Le forze dell’ordine lo sanno e costruiscono le indagini sulla lunga distanza.
Metadati EXIF: informazioni incorporate nelle fotografie digitali che possono includere coordinate GPS, marca e modello del dispositivo, data e ora dello scatto. Fotografie condivise senza rimuovere i metadati EXIF hanno portato all’identificazione e all’arresto di diversi vendor darknet.
Dead drop: metodo di consegna fisica in cui venditore e compratore non si incontrano mai. Il venditore nasconde la merce in una location, condivide le coordinate con il compratore, che va a recuperarla. Largamente usato nel mercato delle droghe russo e dell’Europa orientale, dove riduce il rischio di sorveglianza fisica.
Glossario del dark web – Law enforcement
Operazione Bayonet: operazione congiunta FBI/DEA/Europol del luglio 2017. Ha chiuso AlphaBay, il marketplace più grande del momento, e ha preso il controllo segreto di Hansa Market. L’admin di AlphaBay, Alexandre Cazes, è stato trovato morto nella sua cella prima del processo.
Operazione SpecTor: operazione coordinata da Europol completata nel maggio 2023. Ha coinvolto autorità di nove paesi, portato a 288 arresti simultanei (record assoluto per operazioni darknet), e sequestrato 50,8 milioni di dollari in contanti e crypto e 850 chili di droga. Ha disarticolato Monopoly Market.
Operazione Onymous: operazione congiunta Europol/FBI del novembre 2014. Primo grande takedown coordinato di marketplace darknet, con sequestro di Silk Road 2.0 e altri siti.
Multi-jurisdiction coordination: approccio ormai standard nelle operazioni darknet, dove agenzie di diversi paesi coordinano arresti simultanei per evitare che gli arrestati in un paese possano avvertire i complici in altri. SpecTor e Bayonet ne sono gli esempi più noti.
Infiltration: inserimento di agenti sotto copertura in un marketplace o community darknet come vendor o acquirente. Tecnica complementare alla blockchain forensics e all’OSINT. Richiede tempi lunghi per costruire credibilità nel sistema reputazionale del marketplace.
Blockchain forensics (nel contesto law enforcement): analisi della blockchain per collegare transazioni a indirizzi noti, ricostruire il flusso di fondi tra marketplace e wallet di exchange KYC (know your customer), e identificare i prelievi in fiat. La maggior parte degli arresti di gestori di marketplace negli ultimi cinque anni ha incluso un componente di blockchain forensics.
KYC (Know Your Customer): obbligo normativo per gli exchange di criptovalute di verificare l’identità dei propri utenti. Il punto di contatto tra il sistema finanziario anonimo del dark web e quello regolamentato. Quando i fondi di un exit scam o di un marketplace vengono convertiti in fiat, il passaggio attraverso un exchange KYC spesso permette l’identificazione.
Silk Road: il primo grande marketplace darknet, operativo dal 2011 al 2013. Fondato da Ross Ulbricht (username: Dread Pirate Roberts). Chiuso dall’FBI nell’ottobre 2013 dopo un’indagine durata due anni. Ulbricht è stato condannato all’ergastolo senza possibilità di libertà condizionale. La sua identificazione è avvenuta in parte attraverso OSINT: aveva usato lo stesso username su un forum legale e su Silk Road, e aveva chiesto aiuto con il suo nome reale su Stack Overflow per un problema di codice del marketplace.
AlphaBay: secondo grande marketplace darknet, operativo dal 2014 al 2017. Al momento della chiusura era il più grande del mondo. Fondato da Alexandre Cazes, identificato perché nelle email di benvenuto automatiche del marketplace compariva il suo indirizzo Hotmail personale.
Hansa Market: marketplace olandese che ha funzionato come honeypot per 26 giorni nel luglio 2017, gestito in segreto dalla polizia olandese. Ha registrato migliaia di transazioni di utenti AlphaBay in migrazione. Template delle operazioni honeypot successive.
Hydra: il più grande marketplace russofono della storia, chiuso nel 2022 con sequestro di 25 milioni di dollari in Bitcoin da parte delle autorità tedesche e americane. Aveva processato oltre un miliardo di dollari in transazioni annuali al suo apice.
Abacus Market: marketplace generalista diventato il più grande del dark web occidentale dopo la chiusura di Hydra. Exit scam nel luglio 2025 con stime tra 300 e 400 milioni di dollari, il 75% in Monero.
Archetyp Market: marketplace chiuso da Europol il 16 giugno 2025. Oltre 600.000 utenti registrati, almeno 250 milioni di euro di volume transato. Uno dei takedown più rilevanti del 2025.
TorZon: marketplace emerso come dominante per le droghe nel mondo occidentale dopo l’exit scam di Abacus, secondo Chainalysis. Il naturale punto di migrazione dell’audience post-Abacus.
Russian Market: marketplace specializzato in credenziali rubate e stealer log. Prezzi da 1 dollaro per credenziali base a oltre 500 dollari per accessi a reti aziendali. Uno dei marketplace più longevi del settore nel 2026.
BidenCash: marketplace di carding (dati di carte di credito rubate). Sequestrato nel 2025 con sequestro di 145 domini, uno dei numeri più alti mai raggiunti in un’operazione singola.






