Nel lessico della rete, poche espressioni sono state tanto abusate quanto dark web. Per una parte dell'opinione pubblica coincide con il lato criminale di internet; per altri è un ecosistema tecnico nato per proteggere l'anonimato, la libertà di espressione e la resilienza delle comunicazioni. In realtà, il dark web è entrambe le cose e, proprio per questo, continua a essere un tema centrale per imprese, istituzioni e professionisti della cybersicurezza. Capire cosa siano i domini .onion, come funzionino e perché si collochino su un piano radicalmente diverso rispetto ai domini tradizionali non è un esercizio teorico: significa comprendere una porzione crescente dell'infrastruttura digitale contemporanea, con implicazioni concrete per la sicurezza aziendale, la reputazione dei brand, la tutela dei dati e persino la geopolitica dell'informazione.
Per inquadrare correttamente il fenomeno, bisogna anzitutto distinguere tra surface web, deep web e dark web. Il surface web è la parte indicizzata dai motori di ricerca e accessibile tramite browser convenzionali, quella in cui vivono i domini .it, .com, .org e le altre estensioni tradizionali amministrate attraverso il Domain Name System. Il deep web comprende invece contenuti non indicizzati ma perfettamente legittimi, come database aziendali, aree riservate, archivi documentali e servizi protetti da autenticazione. Il dark web è una porzione del deep web raggiungibile soltanto tramite software, configurazioni o protocolli specifici, tra cui il più noto è Tor, acronimo di The Onion Router. È qui che entrano in scena i domini .onion, che non sono domini internet nel senso classico del termine, ma identificativi di servizi nascosti all'interno della rete Tor.
La differenza tecnica è decisiva. Un dominio tradizionale viene risolto dal DNS globale, coordinato da registri, registrar e organismi di governance come ICANN. Un indirizzo .onion, invece, non passa per il DNS pubblico e non è delegato da un registro commerciale. È generato crittograficamente e associato a una chiave pubblica del servizio stesso. In altri termini, mentre un dominio tradizionale è un nome che punta a una risorsa, un dominio .onion è, di fatto, parte dell'identità crittografica di quel servizio. Le versioni più recenti, note come onion v3, sono composte da 56 caratteri alfanumerici, molto meno mnemonici rispetto ai domini convenzionali ma significativamente più robusti sul piano della sicurezza. Questo assetto rende il dark web un "mondo parallelo" non soltanto per la sua reputazione, ma per la sua stessa architettura: regole diverse, meccanismi di accesso diversi, logiche di naming diverse.
Il funzionamento di Tor si basa su un principio di instradamento a strati, da cui il riferimento alla cipolla. Il traffico viene cifrato e rimbalzato attraverso più nodi volontari distribuiti nel mondo, così che nessun singolo nodo conosca contemporaneamente origine e destinazione del traffico. Quando si visita un sito web tradizionale tramite Tor, l'anonimato riguarda soprattutto il lato utente; quando invece si accede a un servizio onion, anche il server può rimanere nascosto. Questo doppio livello di opacità spiega perché i domini .onion siano usati sia da organizzazioni legittime sia da attori criminali. Testate giornalistiche internazionali, piattaforme per whistleblower e organizzazioni per i diritti civili hanno adottato versioni .onion dei loro servizi per offrire un canale di accesso più sicuro in contesti repressivi. Allo stesso tempo, marketplace illegali, forum di data leak e infrastrutture di malware sfruttano le stesse proprietà per eludere tracciamento e sequestro.
I numeri aiutano a contestualizzare. Secondo il Tor Project, negli ultimi anni gli utenti giornalieri della rete Tor si sono mossi stabilmente nell'ordine di alcuni milioni a livello globale, con oscillazioni legate a eventi geopolitici, campagne repressive e crisi internazionali. In diversi periodi recenti il network ha registrato oltre 2 milioni di utenti connessi al giorno, segnale di una domanda strutturale di anonimato e accesso riservato. Sul fronte dei domini tradizionali, il divario dimensionale resta immenso: secondo il Domain Name Industry Brief di Verisign, il numero complessivo di registrazioni di domini in tutti i TLD supera i 360 milioni a livello mondiale. In Italia, i dati di Registro .it mostrano un mercato maturo ma ancora dinamico: a fine 2023 i domini .it registrati hanno superato i 3,5 milioni, con un incremento annuo nell'ordine di alcune decine di migliaia di unità. Il confronto è utile: i domini tradizionali sono una grande infrastruttura economica e amministrativa; i .onion sono una rete di nicchia, ma con un peso strategico sproporzionato rispetto ai volumi.
Anche i dati sulla digitalizzazione spiegano perché il tema non sia confinato agli specialisti. Secondo ISTAT e Eurostat, in Italia oltre l'80% delle famiglie dispone di accesso a internet e la quota di cittadini che utilizza servizi digitali è cresciuta in modo sensibile nell'ultimo quinquennio, anche se il Paese resta sotto la media UE in diversi indicatori di competenze digitali. Più servizi online significa più dati, più identità digitali, più superfici di attacco. E più attacchi significano maggiore probabilità che credenziali rubate, database esfiltrati o documenti sensibili finiscano proprio nel dark web. È questo il punto di contatto più concreto tra il cittadino comune, la PMI italiana e l'universo dei domini .onion: non serve "navigare nel dark web" per esserne toccati, perché gran parte delle conseguenze del cybercrimine si manifesta nell'economia reale, nei bilanci aziendali e nella fiducia dei clienti.
Sul piano della sicurezza, i rapporti di settore convergono. Le analisi di IBM X-Force, Mandiant, Check Point, Palo Alto Networks Unit 42 e altri operatori internazionali mostrano una crescita costante della professionalizzazione dell'ecosistema criminale online. Il dark web ospita forum di scambio, broker di accessi iniziali, servizi di ransomware-as-a-service, vendita di credenziali, kit di phishing e pacchetti di dati sottratti. Secondo gli analisti di settore, il modello criminale è diventato sempre più vicino a una filiera industriale: specializzazione dei ruoli, pricing dinamico, reputazione interna delle piattaforme e perfino "servizio clienti" nei marketplace più evoluti. Questo non significa che il dark web sia sinonimo di illegalità, ma spiega perché le aziende non possano più considerarlo un tema periferico o folkloristico.
La diversità rispetto ai domini tradizionali emerge anche sotto il profilo della governance. Nel mondo dei TLD classici esistono procedure codificate di registrazione, rinnovo, trasferimento, verifica e, in taluni casi, di sospensione o riassegnazione. Vi sono autorità, registrar accreditati, policy contrattuali e meccanismi di dispute resolution. Nel caso dei servizi .onion, la logica è molto più disintermediata. Non si "acquista" un .onion nel modo in cui si acquista un .it o un .com; si genera un identificativo legato a una chiave. Questo comporta vantaggi evidenti in termini di autonomia e resistenza alla censura, ma rende anche più complessa la tutela del marchio, l'attribuzione di responsabilità e l'intervento repressivo. Per un brand, ad esempio, la comparsa di una falsa vetrina .onion che usa il nome dell'azienda per vendere dati rubati o fingersi canale ufficiale può creare un danno reputazionale senza gli strumenti rapidi tipici del contenzioso sui domini tradizionali.
C'è poi un profilo di mercato che spesso viene sottovalutato. Mentre il dominio tradizionale è un asset commerciale, un presidio di branding, indicizzazione SEO e relazione con il cliente, il dominio .onion è innanzitutto un asset funzionale e politico: serve a garantire accesso riservato, disponibilità sotto pressione, anonimato o pseudonimato. Non a caso alcune organizzazioni mediatiche internazionali, da anni, mantengono mirror onion per raggiungere utenti in Paesi sottoposti a censura o sorveglianza massiva. Il valore non è il traffico pubblicitario, ma la continuità del servizio e la protezione delle fonti. In ambito business, questo modello interessa soprattutto grandi imprese, operatori sensibili e soggetti che gestiscono informazioni ad alto rischio, ma la sua logica potrebbe estendersi. In uno scenario di cyberspionaggio crescente, non è impensabile che alcune funzioni di supporto, segnalazione interna o whistleblowing aziendale sfruttino sempre più spesso canali onion.
Per le imprese italiane le implicazioni pratiche sono almeno tre. La prima riguarda il monitoraggio. Oggi il dark web monitoring è entrato a pieno titolo nelle strategie di cyber threat intelligence: controllare se credenziali aziendali, dati dei clienti o riferimenti al brand compaiano su forum e marketplace è una misura di prevenzione, non un lusso da grandi gruppi. La seconda riguarda la gestione del rischio. Un incidente non termina con il contenimento tecnico: se i dati sottratti vengono pubblicati su un sito .onion, la crisi assume una dimensione reputazionale, legale e commerciale. La terza riguarda la formazione. Molti attacchi che sfociano nella vendita di dati sul dark web iniziano nel modo più banale, con phishing, password deboli o accessi non protetti da autenticazione multifattore. In altre parole, il dark web è l'ultimo anello di una catena che spesso comincia nel surface web quotidiano dell'utente.
Dal lato degli utenti, è importante evitare due errori speculari: demonizzare e banalizzare. Demonizzare significa ignorare che strumenti come Tor sono usati da giornalisti, attivisti, ricercatori e cittadini che cercano tutela in contesti difficili. Banalizzare significa pensare che si tratti di una zona franca senza conseguenze o di una curiosità da esplorare senza competenze. I rischi sono reali: truffe, malware, disinformazione, contenuti illegali, operazioni di social engineering. Eppure, sul piano dei diritti digitali, il dibattito resta aperto. In un'epoca di tracciamento diffuso, profilazione pubblicitaria e crescente concentrazione del potere nelle piattaforme, le reti anonime rappresentano anche una forma di controbilanciamento tecnologico. Secondo molti analisti, il futuro del dark web dipenderà proprio da questa tensione tra sicurezza e libertà, tra esigenze investigative e tutela delle comunicazioni riservate.
Guardando avanti, è verosimile che il confine tra internet "visibile" e infrastrutture parallele diventi più poroso. L'aumento delle minacce cyber, la centralità della protezione dei dati e la frammentazione geopolitica della rete spingeranno governi, aziende e società civile a ripensare il rapporto tra identità digitale, accessibilità e anonimato. I domini .onion non sostituiranno i domini tradizionali, perché rispondono a bisogni diversi e parlano a pubblici diversi. Ma continueranno a rappresentare un laboratorio cruciale di ciò che internet può diventare quando la priorità non è la visibilità, bensì la resistenza, la riservatezza e il controllo dell'esposizione. È questa la vera lezione editoriale del dark web: non un sottosuolo separato dalla rete ufficiale, ma il suo riflesso più radicale, dove le contraddizioni del digitale contemporaneo si manifestano in forma estrema e, proprio per questo, impossibile da ignorare.
| Dominio | Status | Registrar |
|---|---|---|
| onionlab.it | Occupato | ARUBA-REG |
| torzone.it | Libero | |
| webombra.it | Libero | |
| nodotor.it | Libero | |
| onionhub.it | Libero | |
| cifrato.it | Occupato | AM-REG |
| darknetta.it | Libero | |
| torlink.it | Libero | |
| hiddenweb.it | Libero | |
| ombranet.it | Libero |