Nord Security ci mostra il futuro della cybersicurezza: l’antivirus non basta più

Siamo volati a Vilnius, in Lituania, per visitare il quartier generale di Nord Security, la società che negli ultimi anni è riuscita a trasformare NordVPN da semplice servizio VPN a uno dei nomi più influenti dell’intero panorama della cybersicurezza consumer. Fondata nel 2012, l’azienda è oggi valutata circa tre miliardi di dollari, investe quasi cento milioni all’anno in ricerca e sviluppo e può contare su oltre quattrocento brevetti registrati negli Stati Uniti. Numeri importanti, certo, ma che da soli non bastano a spiegare la ragione del nostro viaggio: quello che ci ha portati a Vilnius non era soltanto la possibilità di osservare da vicino una delle realtà tecnologiche europee più in crescita, ma soprattutto capire come un’azienda che vive quotidianamente a contatto con il cybercrimine interpreta le minacce che stanno ridisegnando Internet e quali strumenti ritiene necessari per affrontarle nei prossimi anni.

Dopo una serie di incontri a porte chiuse con dirigenti, ricercatori e responsabili di prodotto, la sensazione che ci siamo portati a casa è piuttosto chiara: il cybercrimine sta attraversando una fase di trasformazione molto più profonda di quanto la maggior parte degli utenti percepisca. Per anni abbiamo immaginato gli attacchi informatici come tentativi di violare sistemi, sfruttare vulnerabilità o installare malware sui dispositivi delle vittime. Oggi, invece, gran parte dei criminali informatici ha smesso di cercare una porta da scassinare. Semplicemente entra utilizzando le chiavi.

Quando l’obiettivo non è il computer, ma la tua identità

È un cambio di paradigma che può sembrare banale soltanto in apparenza: secondo i dati presentati durante l’evento, nel 2025 gli attacchi privi di malware tradizionale hanno raggiunto l’82% del totale. Questo significa che sempre più spesso gli aggressori non hanno bisogno di compromettere un computer per ottenere ciò che vogliono, gli basta impossessarsi delle informazioni giuste; password, cookie di autenticazione, dati di recupero degli account, credenziali aziendali, token di sessione e dettagli di pagamento sono diventati la vera moneta dell’economia criminale online. Una volta ottenuti questi dati, accedere a un account può risultare molto più semplice che sviluppare malware sofisticati o individuare vulnerabilità sconosciute.

Il fenomeno è alimentato soprattutto dagli infostealer, una categoria di software progettata specificamente per raccogliere e sottrarre informazioni sensibili dai dispositivi compromessi. Si tratta di strumenti relativamente semplici, ma estremamente efficaci, che negli ultimi anni hanno dato vita a un’economia sommersa capace di generare volumi impressionanti. Le credenziali rubate vengono raccolte, catalogate e rivendute in maniera quasi industriale, spesso attraverso marketplace clandestini che ricordano molto più un normale e-commerce che i forum underground che popolavano il dark web qualche anno fa. Insomma, il cybercrimine moderno assomiglia sempre meno a un’attività artigianale e sempre più a una filiera organizzata, con fornitori, distributori, servizi in abbonamento e modelli di business ormai consolidati.

A rendere il quadro ancora più complesso contribuisce poi l’evoluzione rapidissima dell’intelligenza artificiale. Se fino a pochi anni fa i deepfake erano percepiti soprattutto come curiosità tecnologiche o strumenti per creare contenuti virali, oggi rappresentano una risorsa concreta all’interno dell’arsenale dei truffatori. Durante i panel a cui abbiamo assistito è emerso come le tecnologie di sintesi vocale e manipolazione video vengano sempre più spesso utilizzate per aggirare sistemi di verifica dell’identità, simulare interlocutori affidabili o costruire profili completamente falsi destinati a superare procedure KYC in ambito finanziario. In altre parole, i deepfake stanno smettendo di essere una dimostrazione tecnica e stanno diventando un servizio acquistabile, scalabile e utilizzabile all’interno di vere e proprie campagne criminali.

L’Italia vale novanta dollari

Se il quadro globale appare preoccupante, osservare i dati relativi all’Italia rende la situazione ancora più concreta: le analisi condotte da NordStellar sui marketplace del dark web mostrano, infatti, come una completa identità digitale italiana possa essere acquistata per circa novanta dollari, mentre documenti come passaporti e patenti vengono spesso venduti a poco più di trenta dollari. Ancora più interessante è il valore attribuito alle carte di pagamento italiane, che risultano tra le più costose e richieste dell’intera Unione Europea; non si tratta soltanto di una curiosità statistica: il prezzo elevato indica che queste informazioni vengono considerate particolarmente redditizie dai criminali e che esiste una domanda costante per questo tipo di dati.

Il dato forse più inquietante riguarda però la longevità delle carte compromesse, dato che circa l’87% delle carte rubate continua a rimanere valido per oltre dodici mesi dopo la sottrazione. Significa che chi acquista queste informazioni dispone di un periodo enorme per monetizzare il furto prima che la vittima si accorga del problema o proceda alla sostituzione dello strumento di pagamento; è una dinamica che contribuisce ad aumentare il valore di mercato delle carte stesse e che dimostra quanto spesso i furti di dati possano continuare a produrre effetti molto tempo dopo l’incidente iniziale.

Dal gaming ai Mondiali: dove colpiranno i truffatori

Un altro aspetto particolarmente interessante riguarda il mondo del gaming: nell’immaginario comune i videogiochi vengono raramente associati alla cybersicurezza, eppure rappresentano uno dei principali vettori di diffusione degli infostealer. Le analisi mostrate durante l’evento evidenziano oltre 53 milioni di credenziali rubate riconducibili a piattaforme come Steam, Roblox ed Epic Games Store. Ecco, in molti casi il problema nasce da pratiche che sembrano innocue, soprattutto agli occhi degli utenti più giovani: download di giochi piratati, mod non ufficiali, cheat o software distribuiti attraverso canali poco affidabili. 

Come se non bastasse, all’orizzonte si profila anche un evento particolarmente appetibile per i truffatori: i Mondiali di calcio del 2026. Secondo una ricerca commissionata da NordVPN, circa il 67% degli italiani intende seguire la competizione, creando una platea enorme di potenziali vittime per campagne fraudolente legate a biglietti falsi, scommesse truccate e offerte inesistenti. Telegram, Instagram, WhatsApp e Facebook continuano a rappresentare i canali privilegiati per questo tipo di operazioni, sfruttando un principio semplice ma estremamente efficace: quando entrano in gioco passione, entusiasmo e senso di urgenza, anche gli utenti più prudenti tendono ad abbassare le difese.

Il problema è che questa crescita delle minacce non sembra accompagnata da un aumento altrettanto rapido della consapevolezza digitale. Nel National Privacy Test più recente l’Italia è scesa all’undicesimo posto nella classifica globale dedicata alla privacy e alla sicurezza online, mantenendo un punteggio medio di appena 50 punti su 100. Ancora più significativo è il fatto che soltanto una piccola percentuale degli utenti riesca a identificare correttamente un sito di phishing o a riconoscere i rischi legati all’utilizzo dell’intelligenza artificiale nella gestione dei dati personali. Il problema? Si tratta di un divario che rischia di diventare sempre più problematico man mano che le tecniche utilizzate dai criminali diventano più sofisticate.

NordVPN vuole diventare qualcosa di diverso

Ecco, è proprio all’interno di questo scenario che si inserisce la trasformazione di NordVPN: la sensazione che è emersa durante le presentazioni a cui abbiamo assistito è che l’azienda stia cercando di superare definitivamente il concetto tradizionale di VPN per avvicinarsi a qualcosa di molto più ampio. D’altronde, è chiaro che il modello di sicurezza basato esclusivamente sul rilevamento dei file malevoli non sia più sufficiente per affrontare le minacce contemporanee: se gli attacchi moderni puntano all’identità, alle credenziali e alla manipolazione delle persone, allora anche gli strumenti di difesa devono cambiare approccio.

Per questo motivo la piattaforma verrà progressivamente riorganizzata attorno a tre aree principali: Connect, dedicata alla connettività e alla rete VPN; Protect, focalizzata sulla prevenzione di phishing, truffe e minacce online; e Monitor, una sezione destinata a controllare in maniera proattiva l’esposizione digitale dell’utente. Quest’ultima rappresenta probabilmente l’evoluzione più interessante: non si limiterà, infatti, a verificare la presenza di credenziali compromesse all’interno del dark web, ma introdurrà anche strumenti basati su tecniche OSINT capaci di mostrare quali informazioni personali risultano pubblicamente accessibili e come potrebbero essere utilizzate da potenziali aggressori.

L’intelligenza artificiale avrà un ruolo centrale in questa strategia, ma con un approccio molto diverso rispetto a quello adottato dalla maggior parte dei servizi consumer. Invece di affidarsi esclusivamente a grandi modelli linguistici eseguiti nel cloud, Nord Security punta su modelli più piccoli e specializzati, progettati per svolgere compiti specifici limitando al minimo la quantità di dati che lascia il dispositivo dell’utente. Da questa filosofia nascono strumenti come Scam Checker, pensato per analizzare messaggi, link e immagini sospette, oppure AI Voice Detector, una soluzione che prova a identificare voci generate artificialmente e possibili tentativi di frode basati su deepfake vocali.

Anche sul fronte infrastrutturale, il lavoro procede nella stessa direzione. Nord Security ha completato l’implementazione della crittografia post-quantistica su tutte le proprie applicazioni, preparandosi a uno scenario in cui i futuri computer quantistici potrebbero mettere in discussione gli algoritmi di cifratura oggi utilizzati. Parallelamente l’azienda ha sviluppato NordWhisper, un protocollo progettato per mimetizzare il traffico VPN all’interno del normale traffico web e aggirare i sistemi di filtraggio più aggressivi utilizzati da governi, reti aziendali e amministratori di sistema.

Insomma, dopo la nostra visita a Vilnius, la sensazione più forte che ci siamo portati a casa non riguarda una singola funzionalità o un particolare prodotto, riguarda, piuttosto, il momento storico che sta attraversando l’intero settore della cybersicurezza. Il cybercrimine è diventato un’industria globale estremamente organizzata, alimentata dall’intelligenza artificiale, dalla compravendita di identità digitali e da modelli operativi sempre più efficienti e, in questo contesto, la sicurezza online non può più limitarsi a bloccare un virus dopo che è stato eseguito. La vera sfida consiste, quindi, nell’intercettare una minaccia prima ancora che raggiunga l’utente, comprendendo che il bersaglio principale non è più il computer, ma la persona che si trova davanti allo schermo.