La febbre per i grandi eventi sportivi globali alimenta un'economia sotterranea estremamente lucrosa, dove l'accesso ai contenuti premium diventa una merce di scambio rapida e illegale. Durante lo svolgimento della Coppa del Mondo, il mercato nero degli account di streaming ha raggiunto dimensioni allarmanti: secondo un'analisi condotta dal team Satori Threat Intelligence di HUMAN Security, oltre 12 milioni di profili compromessi sono stati messi in vendita nel dark web, con un valore potenziale stimato in circa 220 milioni di dollari.
Strategie di vendita e picchi di domanda
I criminali informatici gestiscono questo traffico con una logica puramente commerciale, adattando l'offerta in base all'andamento del torneo. Il momento di massima pressione è stato registrato il 27 giugno, ultimo giorno della fase a gironi, quando sono stati rilasciati in un unico dump 802.000 account, generando ricavi stimati per 14,8 milioni di dollari.
Mentre un abbonamento legittimo oscilla tra i 30 e i 50 dollari, gli account rubati vengono venduti a partire da soli 5 dollari. Per rendere l'offerta più appetibile, i rivenditori includono spesso garanzie di sostituzione in caso di perdita dell'accesso, punti fedeltà e persino carte di pagamento collegate ai profili.
I vettori dell'attacco: tra malware e credential stuffing
La provenienza di queste credenziali non è casuale. Gli esperti indicano due strade principali: l'uso di malware specializzati nel furto di informazioni (info-stealer), che estraggono i dati salvati nei browser delle vittime, e le campagne di credential stuffing. In quest'ultimo caso, gli hacker utilizzano database di username e password già trapelati in precedenza per tentare l'accesso automatico a diversi servizi di streaming.
Questa infrastruttura criminale non si limita alla vendita di account. Prima ancora dell'inizio del torneo, sono stati individuati oltre 4.300 domini fake che imitavano quelli della FIFA e malware bancari camuffati da app di streaming, progettati per intercettare nuovi dati sensibili.
La risposta dei provider e il rischio sistemico
Alcuni operatori, come Fubo, hanno implementato sistemi di monitoraggio basati sulla geolocalizzazione per bloccare account che risultano attivi in due luoghi distanti in tempi troppo brevi. Tuttavia, la portata del fenomeno evidenzia una vulnerabilità strutturale: le credenziali rubate continuano a essere valide ben oltre la fine della competizione, alimentando un ciclo di pirateria persistente.
Impatto sul mercato italiano
Il fenomeno non è limitato al contesto internazionale. In Italia, le autorità hanno già agito contro app di pirateria capaci di trasmettere contenuti di Sky, DAZN e Netflix attraverso l'uso di account legittimi sottratti. Questo trend conferma come il furto di credenziali sia diventato uno strumento primario per l'elusione dei pagamenti nei servizi di streaming, ponendo una sfida costante alla sicurezza degli utenti e ai ricavi dei broadcaster nazionali.
