Ogni volta che un giornale italiano titola “scoperta organizzazione criminale nel deep web”, sta facendo un errore. Non un errore veniale o tecnico, ma un errore concettuale che non coglie la fondamentale differenza tra deep web e dark web e distorce la comprensione di come funziona Internet. Il deep web non ha niente a che fare con il traffico di sostanze, con i marketplace di documenti falsi o con i forum criminali. Il tuo conto bancario è nel deep web. La tua casella di posta è nel deep web. Le cartelle cliniche del tuo ospedale sono nel deep web. Niente di tutto questo è dark web.

La confusione non è casuale. Nasce dall’uso intercambiabile di due termini che indicano cose profondamente diverse e si è cristallizzata nel linguaggio dei media a partire dallo smantellamento di Silk Road nel 2013. Da quel momento, “deep web” è diventato un sinonimo improprio di “web criminale” nell’immaginario popolare, e la correzione non è mai arrivata in modo efficace. Anche perché, secondo me, ai media questa confusione conviene: produce titoli più suggestivi.

I tre livelli di Internet

Per capire la differenza bisogna partire da come è strutturato Internet nel suo complesso. Quello che la maggior parte delle persone usa ogni giorno è solo una piccola parte della rete totale.

Il web di superficie (surface web o clearnet) è tutto ciò che i motori di ricerca indicizzano. Wikipedia, i siti di informazione, le homepage delle aziende, i blog pubblici, i profili social accessibili senza login, gli shop online. È il livello dove vivi quando apri Google e clicchi su un link. Rappresenta approssimativamente il 5-10% del contenuto totale presente su Internet, secondo le stime più diffuse. È una percentuale piccola, anche se il volume assoluto di informazioni è enorme.

Il deep web è tutto il resto. Non è uno spazio misterioso o pericoloso, è semplicemente il contenuto online che non viene indicizzato dai motori di ricerca, perché è protetto da autenticazione, perché è privato per natura, o perché non è mai stato pubblicato per essere trovato.

Qualche esempio pratico: quando apri la tua webmail, la tua casella di posta è tecnicamente nel deep web. Quando accedi all’homebanking, il tuo saldo bancario è nel deep web. Le intranet aziendali, le cartelle cliniche digitali, i paper accademici dietro paywall, i documenti che hai caricato nel tuo Google Drive, il pannello di amministrazione di qualsiasi sito WordPress, le tue chat su WhatsApp Web prima del logout. Tutto deep web. Nessuno di questi contenuti è illegale. Nessuno di essi è nascosto in senso oscuro. Sono semplicemente non accessibili a chi non ha le credenziali per visualizzarli.

Il dark web è una piccola frazione del deep web che viene resa deliberatamente irraggiungibile attraverso reti di anonimizzazione speciali. Non è accessibile con un normale browser. Richiede software specifici, il più diffuso dei quali è Tor. I siti del dark web usano indirizzi .onion invece dei normali domini, e sia chi visita sia chi gestisce questi siti rimane anonimo in modo strutturale. Il dark web ospita contenuti legali e illegali. Un esempio di uso legale: il New York Times, la BBC, Facebook e DuckDuckGo mantengono versioni .onion dei propri siti per permettere l’accesso a giornalisti e cittadini in paesi con censura attiva.

Il concetto di visibilità online si è dunque evoluto nel tempo: esperimenti come la Million Dollar Homepage hanno mostrato fin dal 2005 quanto fosse semplice monetizzare l’indicizzazione pubblica, confermando da sempre che le pagine ricercate e accessibili rappresentano solo una frazione consistente di un ecosistema molto più articolato.

Perché la confusione è così persistente (e quanto è italiana)

C’è una ragione narrativa per cui i media hanno adottato “deep web” come termine per il dark web, ed è che “deep web” suona più misterioso e evocativo di “dark web”. “Nel deep web” ha una risonanza cinematografica che “su Tor” non ha. Il problema è che questa imprecisione è diventata così diffusa che anche molte persone tecnicamente competenti la usano in modo improprio e correggere la narrativa mainstream richiede uno sforzo continuo.

In Italia il fenomeno è particolarmente marcato. Praticamente ogni cronaca italiana di operazioni Europol contro marketplace darknet, sia che si parli di Hydra o di Archetyp o di Incognito Market, viene titolata e raccontata come “operazione nel deep web“. Lo fanno moltissime testate mainstream e lo fanno i TG nazionali. Non c’è stato finora un percorso editoriale serio per distinguere i due termini e il risultato è che il lettore medio italiano associa “deep web” a “luogo dove avvengono cose criminali”, quando invece la sua intranet aziendale ne fa parte.

C’è anche una seconda fonte di confusione più sottile. La parola “darknet” ha una storia diversa da “dark web”. Darknet è un termine del 1970, usato dai ricercatori che lavoravano su ARPANET (il precursore di Internet) per descrivere qualsiasi rete isolata non connessa alla rete principale. Significato tecnico preciso, mai sensazionalistico. Negli anni 2000 il termine è stato recuperato per descrivere le reti peer-to-peer usate per la condivisione illegale di file, eMule, Gnutella, Kazaa nell’era pre-Spotify. Poi è stato applicato alle reti Tor. Il termine “dark web” è più recente e più vago, e la sua storia di uso improprio è iniziata prima ancora che il fenomeno dei marketplace diventasse mainstream.

Cosa c’è davvero nel dark web

Una volta chiarita la distinzione, vale la pena capire cosa si trova effettivamente nel dark web. Non è né il luogo di orrori infiniti che i documentari suggeriscono, né uno spazio neutro di sola privacy legittima. La realtà è più complicata di entrambe le narrazioni, e i dati più aggiornati raccontano qualcosa di interessante.

Secondo le metriche pubblicate dal Tor Project, oggi sono visibili circa 800.000 indirizzi .onion v3 sulla rete in un giorno tipo. Una crescita significativa rispetto ai 65.000 di pochi anni fa, che riflette in parte la migrazione dalla vecchia versione del protocollo (v2, deprecata nel 2021) alla nuova generazione che permette indirizzi più sicuri ma più lunghi. La maggior parte di questi siti non ha nulla a che vedere con attività criminali. Sono mirror di siti normali, blog personali, forum tecnici, server di test, infrastrutture aziendali.

Una parte di essi ospita contenuti illegali: marketplace di droghe, forum di cybercrime, servizi di hacking-as-a-service. Queste attività esistono, sono documentate dalle operazioni di Europol e dell’FBI e sono il motivo per cui il dark web riceve copertura giornalistica periodica. Ma non sono la parte preponderante.

Una ricerca pubblicata nel 2020 dal Parliamentary Office of Science and Technology del Regno Unito aveva analizzato il contenuto della rete Tor e concluso che Tor “gioca solo un ruolo minore nella distribuzione di contenuti illegali” e che il suo valore principale è la protezione di giornalisti, attivisti e cittadini in regimi autoritari. Studi successivi hanno confermato sostanzialmente lo stesso quadro: i marketplace e i forum criminali sono molto visibili nella copertura mediatica ma rappresentano una frazione minoritaria dell’attività complessiva della rete.

I numeri italiani

Sul fronte italiano, il dato che vale la pena conoscere è quello dell’utilizzo reale di Tor nel paese. Secondo le metriche pubblicate da metrics.torproject.org, l’Italia ha oltre 76.000 utenti Tor al giorno, una cifra che la colloca tra i primi paesi europei per uso assoluto della rete dopo Germania (che è prima in Europa con il 25-35% degli utenti globali) e Stati Uniti.

Settantaseimila utenti al giorno significa una popolazione di utilizzatori più grande di molte città italiane di media dimensione. La domanda interessante è: chi sono questi italiani che usano Tor? Quasi sicuramente non tutti criminali. Anzi, statisticamente, la stragrande maggioranza non lo è. Sono giornalisti che proteggono fonti, attivisti per i diritti civili che organizzano campagne sensibili, ricercatori di sicurezza informatica che studiano malware, professionisti che vogliono navigare senza essere profilati dagli inserzionisti, cittadini residenti all’estero che vogliono accedere a siti italiani bloccati nei loro paesi (succede con la Cina, con i paesi del Golfo, con alcuni stati del Sud-est asiatico), e una quota di utenti che usa Tor semplicemente perché tiene alla propria privacy come scelta di principio.

Nel mondo, sempre secondo il Tor Project, circa 2 milioni di persone si connettono direttamente alla rete ogni giorno nel 2026. Di questi, solo circa il 6,7% visita siti .onion. Il resto usa Tor come strumento di privacy per navigare il normale clearnet senza essere tracciato. Tor Browser ha superato i 200 milioni di download cumulativi a metà 2024, un numero che ne fa uno dei browser non commerciali più diffusi della storia.

Le altre reti del dark web (perché Tor non è l’unica)

Quando si parla di dark web si tende a usare “dark web” e “Tor” come sinonimi, ma anche questa è una semplificazione che vale la pena correggere.

Tor è la rete di anonimizzazione di gran lunga più usata, ma non è l’unica. Esistono almeno altre due reti rilevanti che fanno cose simili con approcci tecnici diversi.

I2P (Invisible Internet Project) è una rete peer-to-peer pensata principalmente per la comunicazione interna alla rete stessa, non per accedere al web tradizionale. È più piccola di Tor (qualche decina di migliaia di utenti) ma ha caratteristiche di resilienza diverse: ogni utente è anche un nodo della rete e questo distribuisce il carico in modo più decentralizzato. Una parte dei marketplace darknet è migrata su I2P negli anni recenti come backup, proprio per non dipendere esclusivamente da Tor.

Freenet (oggi riorganizzata come Hyphanet) ha un’architettura ancora diversa: invece di essere una rete di trasporto, distribuisce contenuti in frammenti cifrati sui nodi partecipanti, con un approccio più simile a un sistema di file distribuiti che a un sistema di navigazione. Più orientata alla pubblicazione resistente alla censura che alla navigazione anonima.

Capita poi che siano emerse reti più piccole e specializzate, come Lokinet (basata sulla blockchain Oxen) e ZeroNet. Nessuna ha raggiunto la diffusione di Tor, ma il fatto che esistano dice qualcosa di importante: il bisogno di anonimato e di resistenza alla censura non è soddisfatto da una singola tecnologia.

L’aggiornamento del Tor Project nel 2024 e nel 2026

Una novità che vale la pena segnalare e che è successa silenziosamente nel 2024, è la fusione del Tor Project con il progetto Tails OS. Tails è il sistema operativo live che si avvia da chiavetta USB e instrada tutto il traffico attraverso Tor, lo standard de facto per chi opera nel dark web in modo strutturato, dai giornalisti investigativi ai criminali. Il consolidamento dei due progetti permette uno sviluppo più coordinato dell’intero stack della privacy: la rete (Tor) e il sistema operativo che la usa (Tails).

Nel 2026 il Tor Project ha anche completato fasi significative della riscrittura del codice da C a Rust, una transizione pluriennale che dovrebbe ridurre drasticamente le vulnerabilità di memoria che storicamente sono state il principale vettore di attacco contro Tor. È un cambiamento invisibile per l’utente medio ma molto rilevante per la sicurezza strutturale della rete.

È legale accedere al dark web?

Tecnicamente, accedere al dark web è legale nella maggior parte dei paesi del mondo, inclusa l’Italia. Scaricare Tor Browser, installarlo, usarlo per navigare siti .onion non costituisce reato in nessuna giurisdizione democratica europea o nordamericana. Esistono paesi che bloccano Tor (la Cina ne blocca l’accesso diretto, la Russia ha tentato di bloccarlo assieme alle VPN con risultati parziali, l’Iran lo blocca durante le crisi politiche), ma per un utente italiano o europeo usare Tor è un’attività perfettamente lecita.

Quello che è illegale non è Tor: sono le attività specifiche che si svolgono attraverso Tor. Comprare droghe è illegale indipendentemente da dove avviene la transazione. Comprare documenti falsi è illegale. Acquistare accesso a reti aziendali compromesse è illegale. Il mezzo di comunicazione, in sé, non determina la legalità dell’atto. Esattamente come usare un telefono non è illegale, ma usarlo per organizzare un traffico di stupefacenti lo è.

A tal proposito, esistono usi legittimi di Tor che sono direttamente protetti dagli ordinamenti giuridici. SecureDrop, il sistema usato da New York Times, Washington Post, The Guardian, ProPublica e BBC per ricevere documenti da informatori (whistleblower), gira su Tor. In Italia testate come IRPI Media e Il Fatto Quotidiano hanno sperimentato sistemi simili. La protezione dell’anonimato delle fonti giornalistiche è un diritto costituzionale in tutti i paesi democratici e Tor è uno degli strumenti tecnici che permette di esercitarlo concretamente nel 2026.

L’esperienza utente: com’è fatto il dark web e cosa aspettarsi davvero

C’è infine un aspetto pratico che vale la pena affrontare per chi non ha mai usato Tor. L’esperienza nel dark web è significativamente diversa da quella del web tradizizonale e questo è il primo motivo per cui non è uno strumento di navigazione “casual”.

I siti .onion sono spesso lenti, perché il traffico passa attraverso almeno sei relè volontari prima di arrivare a destinazione. Cambiano frequentemente indirizzo, perché vengono chiusi o si spostano per ragioni di sicurezza o di pressione legale. Non sono indicizzati, quindi trovarli richiede di conoscere gli indirizzi specifici (le sequenze di 56 caratteri alfanumerici degli .onion v3) o di affidarsi a directory mantenute da volontari. Alcune di queste directory sono affidabili, altre sono trappole create per rubare credenziali o reindirizzare verso versioni clonate di siti legittimi.

Il browser stesso si comporta in modo diverso da Chrome o Safari. Disattiva di default JavaScript, chiede conferma prima di scaricare file, ti avverte se stai usando contenuti che potrebbero rivelare la tua identità reale. Sono tutte protezioni necessarie ma rendono la navigazione meno fluida.

Non è un ambiente pensato per la navigazione quotidiana di un utente medio, ma per casi d’uso specifici dove la privacy o l’accessibilità geografica hanno una ragione precisa. Se la ragione c’è, è uno strumento prezioso. Se non c’è, è soltanto un browser più scomodo.

Perchè è importante chiarire la differenza tra deep web e dark web

Tornando alla domanda iniziale: perché vale la pena correggere l’uso improprio dei termini, quando ormai è diventato pratica comune?

In primis, perchè confusione tra deep web e dark web alimenta una percezione sbagliata del livello di rischio. Le persone che leggono “operazione nel deep web” associano alla parola “deep web” l’attività criminale e quando scoprono che la loro casella di posta è tecnicamente nel deep web, qualcosa nella loro comprensione di Internet si distorce. L’ignoranza tecnica produce paura ingiustificata, e la paura ingiustificata produce politiche pubbliche sbagliate.

Inoltre, la distinzione tra deep web e dark web racconta qualcosa di vero sulla struttura di Internet. Esistono livelli di accesso, livelli di indicizzazione, livelli di anonimato. Sono distinzioni che hanno conseguenze concrete per chi progetta software, per chi gestisce sicurezza informatica, per chi fa giornalismo, per chi studia il funzionamento della rete. Confondere i livelli significa rinunciare a una mappa precisa.