/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/03/google-gemini-dark-web.jpg "Gemini finisce anche nel Dark Web: perché la notizia pesa")
Il monitoraggio del Dark Web, ovvero l’insieme di siti e servizi nascosti accessibili solo tramite reti anonime come Tor, rappresenta da sempre una sfida reale per i team di sicurezza: è necessario analizzare grandi quantità di dati non organizzati, individuare indizi poco evidenti e gestire un’elevata presenza di informazioni irrilevanti o fuorvianti che rendono difficile distinguere le minacce reali.
L’introduzione di agenti AI in grado di effettuare una scansione profonda del Dark Web segna un’evoluzione rilevante in questo ambito, con Google che integra le capacità di Gemini all’interno della propria piattaforma di threat intelligence. L’obiettivo dichiarato è ambizioso: analizzare milioni di contenuti giornalieri e isolare in tempo reale le minacce emergenti per ogni singola impresa.
Architettura del sistema e ruolo degli agenti Gemini sul Dark Web
Il servizio di Google si basa su una rete di agenti AI alimentati dal modello Gemini, progettati per operare in modo autonomo su fonti disponibili sul Dark Web.
A differenza dei sistemi tradizionali, che si limitano a cercare parole chiave, gli agenti costruiscono un profilo semantico dell’organizzazione target. Il profilo include domini, asset digitali, marchi, infrastrutture IT e possibili vettori di attacco.
Una volta definito il contesto, gli agenti eseguono un’analisi continua dei contenuti raccolti. Il sistema processa tra 8 e 10 milioni di eventi al giorno, tra cui post su forum underground, offerte di accesso iniziale e pubblicazioni di dati sottratti. L’elemento distintivo risiede nella capacità di correlare informazioni apparentemente scollegate, riducendo drasticamente il rumore informativo.
Il motore analitico sfrutta tecniche di natural language understanding per interpretare il linguaggio spesso ambiguo o volutamente criptico che è tipico della criminalità informatica. In questo modo, riesce a identificare segnali deboli che sfuggirebbero a un approccio basato su pattern statici.
Uno degli aspetti più rilevanti riguarda l’accuratezza. Secondo i dati interni diffusi da Google, il sistema raggiunge una precisione del 98% nell’analisi degli eventi.
Il confronto con i metodi tradizionali evidenzia un salto significativo: gli agenti AI filtrano e classificano le informazioni in modo più selettivo. Comprendono infatti il contesto delle conversazioni, distinguono tra minacce reali e discussioni generiche e attribuiscono priorità in base alla rilevanza per l’azienda oggetto di monitoraggio.
Tipologie di minacce rilevate
Il sistema messo a punto dagli ingegneri Google copre diverse categorie.
Tra le più significative emergono le attività degli initial access broker, che vendono accessi a reti compromesse, e la pubblicazione di data leak provenienti da violazioni recenti. Gli agenti monitorano anche segnali di insider threat, come discussioni relative alla vendita di credenziali interne delle realtà d’impresa e alla divulgazione di informazioni riservate.
Un ulteriore ambito riguarda l’individuazione di campagne emergenti, incluse operazioni ransomware e tentativi di estorsione. La capacità di analizzare il linguaggio naturale consente di intercettare anche messaggi indiretti o codificati, spesso utilizzati per eludere i sistemi di rilevamento tradizionali.
Il funzionamento del servizio prevede una fase iniziale in cui il cliente conferma la propria identità. A partire da questo momento, il sistema costruisce un modello dettagliato dell’organizzazione. Tale modello guida l’intero processo di analisi, permettendo agli agenti di distinguere tra informazioni generiche e contenuti realmente rilevanti.
La profilazione include elementi tecnici come indirizzi IP, domini, certificati e infrastrutture cloud, ma anche riferimenti indiretti come nomi di dipendenti e partner. Grazie a quello livello di granularità, gli agenti AI possono costruire correlazioni precise tra dati raccolti e potenziali superfici di attacco.
Limiti operativi e criticità tecniche
Nonostante i risultati dichiarati da Google, l’approccio presenta alcune criticità.
La qualità delle analisi dipende dalla copertura delle fonti del Dark Web, molte delle quali risultano dinamiche o accessibili solo tramite autenticazione. Inoltre, la presenza di linguaggi criptici, slang e tecniche di evasione può ridurre l’efficacia dei modelli linguistici.
Un altro aspetto riguarda la gestione dei falsi negativi. Ridurre il rumore comporta il rischio di perdere segnali marginali ma potenzialmente rilevanti. In contesti ad alta criticità, anche un singolo evento non rilevato può avere conseguenze significative.
Dal punto di vista tecnico, l’elaborazione di milioni di eventi giornalieri richiede un’infrastruttura scalabile, basata su sistemi distribuiti e capacità di inferenza in tempo reale. Il bilanciamento tra latenza e accuratezza rappresenta una sfida continua, soprattutto in scenari operativi complessi.
Dai crawler del Web pubblico agli agenti intelligenti per il Dark Web
Google che nel 1998 presentò l’idea dell’algoritmo di PageRank e iniziò a utilizzare crawler distribuiti per indicizzare il Web pubblico in modo sistematico, si trova oggi a trasporre un principio simile in un contesto radicalmente diverso. All’epoca, la sfida consisteva nel superare i limiti delle directory manuali, offrendo una classificazione automatica basata sulla struttura dei link. Nel contesto attuale, il problema non riguarda più la quantità di contenuti accessibili, ma la loro natura frammentata, ostile e spesso deliberatamente nascosta.
La scansione del Dark Web non può replicare il modello tradizionale dei crawler HTTP. Le fonti utilizzano reti anonime, accessi autenticati, sistemi anti-scraping e meccanismi di rotazione degli indirizzi onion. In molti casi, l’accesso richiede credenziali acquistate o interazioni simulate credibili, rendendo necessario l’uso di agenti autonomi capaci di adattarsi dinamicamente. L’approccio basato su modelli linguistici introduce quindi una componente cognitiva che si affianca alla raccolta dati, permettendo di interpretare contenuti anche quando risultano parziali o intenzionalmente offuscati.
Il tentativo di Google si inserisce in una traiettoria coerente: automatizzare la scoperta delle informazioni riducendo l’intervento umano. Se i primi crawler si limitavano a seguire link e indicizzare pagine statiche, gli agenti attuali operano su flussi conversazionali, thread di forum e dataset non strutturati. La differenza non è solo tecnologica, ma anche operativa: l’obiettivo non consiste più nel restituire risultati rilevanti a una query, ma nell’anticipare minacce prima che emergano in modo evidente.
Resta aperta una questione fondamentale. L’indicizzazione del web pubblico si basa su segnali relativamente stabili, mentre il Dark Web evolve con logiche opportunistiche e decentralizzate. In questo scenario, anche un sistema avanzato rischia di inseguire un bersaglio in continuo movimento. L’efficacia dipende dalla capacità di adattarsi rapidamente, aggiornare i modelli e integrare nuove fonti senza compromettere la qualità delle analisi.
/https://www.ilsoftware.it/app/uploads/2026/03/wp_drafter_498438.jpg "Tencent lancia WeChat ClawBot: OpenClaw integrato nella chat")
/https://www.ilsoftware.it/app/uploads/2024/03/windows-migration-assistant-passaggio-macos_2024.jpg "Gemini per macOS: al via test segreti dell'app?")
/https://www.ilsoftware.it/app/uploads/2026/03/wp_drafter_498336.jpg "OpenAI lancia una super app che integra ChatGPT, Codex e Atlas")
/https://www.ilsoftware.it/app/uploads/2023/09/ricerca-medica-IA.jpg "Perplexity Health: il nuovo servizio per gestire al meglio i dati sanitari")