Mentre le aziende fanno i conti con cybercriminali sempre più sofisticati, Google schiera la sua arma di intelligenza artificiale più potente nella parte più oscura e nascosta di internet.
La società ha collegato il suo avanzato modello Gemini a un nuovo servizio integrato in Google Threat Intelligence, capace di setacciare milioni di messaggi sul dark web. L'obiettivo è intercettare segnali di attacchi imminenti, fughe di dati e accessi in vendita a reti aziendali, prima ancora che i criminali passino all'azione.
Gemini diventa il detective digitale del dark web
Google ha presentato questo nuovo servizio durante la conferenza sulla sicurezza RSA Conference 2026 a San Francisco. Il cuore del sistema è semplice ma potente: Gemini, il modello AI più avanzato di Google, opera all'interno di Google Threat Intelligence e analizza continuamente forum, mercati neri e canali di chat nel dark web.
Secondo quanto dichiarato da Google, Gemini elabora ogni giorno fino a 10 milioni di messaggi e inserzioni provenienti da queste piattaforme opache, dove si commerciano account compromessi, database rubati, malware e accessi a intere reti aziendali.
L'AI non deve segnalare tutto indiscriminatamente, ma individuare esattamente quei segnali rilevanti per una specifica organizzazione.
Per riuscirci, il servizio costruisce un profilo dinamico di ogni organizzazione cliente. Gemini tiene conto di diversi fattori, tra cui:
- settore di appartenenza e tipo di attività dell'azienda
- regioni e mercati in cui opera
- tecnologie e sistemi informatici in uso
- categorie di dati appetibili per i criminali, come archivi clienti o proprietà intellettuale
Questo profilo consente all'AI di filtrare, nell'enorme flusso di conversazioni e offerte, esattamente quelle che riguardano una determinata azienda o organizzazioni simili operanti nello stesso settore.
Da segnale vago ad avvertimento concreto
La vera forza del sistema risiede nella capacità di collegare indizi apparentemente scollegati tra loro. In pratica, i criminali spesso celano l'identità del bersaglio: possono mettere in vendita "l'accesso a un'azienda nordamericana con 50 miliardi di dollari in asset" senza mai citarne il nome.
Dove i tradizionali strumenti di monitoraggio ignorano questo tipo di annunci, Gemini tenta invece di riconoscervi dei pattern. L'AI incrocia le descrizioni presenti nei post del dark web con dati pubblici — come bilanci annuali, report di mercato e dati demografici — per risalire all'azienda probabilmente coinvolta.
Dove un analista umano impiegherebbe ore a ricostruire il puzzle, Gemini lo fa in pochi secondi e genera immediatamente un avviso ad alta priorità.
Per i team di sicurezza questo significa avere un vantaggio temporale concreto: possono revocare credenziali, limitare i permessi di accesso o attivare monitoraggi aggiuntivi prima che un attacco venga portato a termine.
Il 98% di precisione per combattere la stanchezza da alert
Molti team di sicurezza non annegano nella mancanza di dati, ma in un'ondata incessante di notifiche che si rivelano poi innocue. I sistemi tradizionali possono generare migliaia di alert al giorno, dei quali solo una minima parte è davvero urgente.
Test interni descritti dalla stampa specializzata indicano che Gemini riesce a selezionare le minacce rilevanti con una precisione di circa il 98%. Questo si traduce in meno falsi positivi e meno tempo sprecato.
L'AI non analizza solo il contenuto di un singolo messaggio, ma osserva anche i pattern nel tempo: chi pubblica, in quale contesto, come si relaziona con le attività precedenti dello stesso utente o gruppo, e se corrisponde a campagne note di organizzazioni criminali informatiche.
Questo approccio mira a ridurre drasticamente il carico di lavoro dei reparti di sicurezza, permettendo agli analisti di concentrarsi sulle segnalazioni che contano davvero, invece di smistare all'infinito log e alert semi-pertinenti.
Un sistema autoapprendente che si adatta a ogni organizzazione
Il servizio non rimane statico dopo la configurazione iniziale. Gemini aggiorna continuamente il profilo dell'organizzazione in base alle reazioni dei team di sicurezza alle notifiche ricevute. Se certi tipi di avvisi vengono costantemente classificati come a basso rischio, il peso delle analisi AI si sposta di conseguenza.
Al contrario, se i team reagiscono prontamente e in modo sistematico a un determinato tipo di minaccia, Gemini inizia a prioritizzare maggiormente quei segnali. In questo modo il servizio cresce insieme alla percezione del rischio e all'esperienza pratica maturata all'interno di ogni singola azienda.
Invece di elenchi statici di parole chiave, emerge un collega digitale flessibile che impara da ogni singola azione dell'analista.
Questo rappresenta un salto di qualità rispetto alle soluzioni più datate, che si basano su termini di ricerca e regole aggiornate manualmente — strumenti che spesso rincorrono con ritardo le nuove tecniche di attacco e il gergo in evoluzione nel dark web.
Verso una cybersecurity sempre più autonoma
Le scansioni del dark web fanno parte di una strategia più ampia con cui Google punta ad automatizzare in misura crescente le attività di sicurezza. All'interno di Google Security Operations, la piattaforma dedicata ai team di sicurezza, l'azienda intende implementare agenti autonomi.
Questi agenti condurranno indagini indipendenti sugli alert ricevuti: raccoglieranno log da diversi sistemi, individueranno connessioni, redigeranno analisi dettagliate e proporranno azioni concrete. Si parla, ad esempio, di isolare un server, bloccare un account utente o generare automaticamente regole per un firewall.
Nel lungo periodo, sempre più fasi del processo di gestione degli incidenti dovrebbero svolgersi senza intervento umano diretto. La persona si sposta verso un ruolo di supervisore e decisore strategico, abbandonando la funzione di "pompiere di prima linea" a ogni singola notifica.
Perché il dark web è così difficile da monitorare
Il dark web è composto da aree protette di internet accessibili solo tramite software specifici, come i browser Tor. I criminali sfruttano questo ambiente per scambiare dati in modo anonimo, pianificare attacchi e condividere conoscenze.
Per un'organizzazione media è praticamente impossibile mappare manualmente questo territorio. I forum scompaiono, nuovi mercati emergono continuamente, gli accessi cambiano e le discussioni si svolgono in più lingue e in un gergo in codice.
Modelli AI come Gemini sono invece in grado di gestire quel volume e quella complessità. Riconoscono pattern nel linguaggio, nelle relazioni tra utenti e nella struttura delle offerte, portando alla luce attività sospette che a un occhio umano sembrerebbero inizialmente irrilevanti.
Vantaggi, rischi e cosa possono fare le aziende fin da subito
Per le organizzazioni con team di sicurezza ridotti, un servizio guidato dall'AI può rappresentare un potenziamento significativo. Ricevono segnali precoci su possibili fughe di dati o tentativi di infiltrazione nella rete, senza dover assumere un esercito di analisti.
Allo stesso tempo emergono interrogativi legittimi sulla dipendenza da un unico grande fornitore tecnologico, sulla privacy e sui margini di errore. Un'interpretazione scorretta dei dati può generare stress inutile o portare a misure errate. La trasparenza sul processo decisionale dell'AI rimane quindi fondamentale per costruire fiducia.
Le aziende che vogliono avvalersi di questi servizi farebbero bene a mettere prima in ordine le proprie fondamenta. Senza una chiara visione dei sistemi critici, dei dati sensibili e dei permessi di accesso esistenti, anche la migliore intelligence sulle minacce può fare ben poco.
Alcuni passi pratici includono: mantenere un registro aggiornato degli asset, rafforzare la gestione degli accessi con l'autenticazione a più fattori, e definire procedure chiare su come agire nel momento in cui arriva una segnalazione che il nome dell'azienda è comparso in un annuncio sul dark web.
Per molte organizzazioni, l'intelligence sulle minacce guidata dall'AI non sostituirà quindi la sicurezza esistente, ma si aggiungerà come uno strato protettivo aggiuntivo. Una guardia digitale che pattuglia nell'ombra, mentre il team interno controlla le serrature e testa gli allarmi antincendio.
