Caccia all’invisibile: il mercato nero degli Zero-Day e la nuova Guerra Fredda digitale

Liberato Manna

In informatica, lo “Zero-Day” rappresenta il punto zero della vulnerabilità: una falla in un software o in un hardware che non è mai stata identificata da chi quel prodotto lo ha progettato. Si chiama così perché lo sviluppatore ha esattamente “zero giorni” per ripararla prima che possa essere sfruttata. Se un hacker la trova per primo, possiede una chiave universale capace di aprire porte blindate senza lasciare traccia. 

Se fino a qualche anno fa lo Zero-Day era una curiosità per accademici o esperti di nicchia, nel 2026 è diventato il “petrolio digitale”. Non parliamo più di semplici bug per rubare password sui social, ma di strumenti di precisione chirurgica capaci di disattivare sistemi di controllo industriale, intercettare comunicazioni governative criptate o paralizzare le reti logistiche di un intero continente. La caccia a queste falle ha generato un mercato nero e grigio che, per volumi d’affari e complessità logistica, ricalca ormai le dinamiche del traffico d’armi tradizionale. 

Il mercato grigio: dove il codice diventa oro 

La vera novità del 2026 è la polarizzazione dei mercati. Da un lato esiste il “mercato bianco”, quello delle grandi aziende come Google, Apple e Microsoft che pagano i cosiddetti Bug Bounty (taglie sui bug) ai ricercatori che segnalano le falle in modo etico. Dall’altro, però, prospera un mercato molto più opaco. 

La vera novità del 2026 è la polarizzazione dei mercati. Da un lato esiste il “mercato bianco”, quello delle grandi aziende come Google, Apple e Microsoft che pagano i cosiddetti Bug Bounty (taglie sui bug) ai ricercatori che segnalano le falle in modo etico. Dall’altro, però, prospera un mercato molto più opaco. 

Agenzie di intermediazione che un tempo operavano alla luce del sole e che oggi si sono fatte sempre più guardinghe e inaccessibili, agiscono come broker d’élite. Acquistano vulnerabilità critiche da ricercatori indipendenti sparsi in tutto il mondo per cifre che, secondo le stime incrociate di Mandiant e Google Cloud, hanno ormai superato i 10 milioni di dollari per un singolo exploit “zero-click” (ovvero un attacco che non richiede alcuna azione da parte della vittima per attivarsi). Questi broker non vendono i loro prodotti a criminali comuni. I loro clienti sono governi, agenzie di intelligence e reparti di cyber-warfare, che conservano queste falle nei propri arsenali digitali come armi di deterrenza o strumenti di spionaggio mirato. È una corsa agli armamenti silenziosa, dove la segretezza è l’unico parametro dell’efficacia. 

Cybercrime e “Exploit-as-a-Service 

Il confine tra lo spionaggio di Stato e la criminalità pura, tuttavia, non è mai stato così sottile. I grandi cartelli del ransomware, che nel 2026 operano con strutture aziendali complesse e uffici sparsi in giurisdizioni protette, hanno iniziato a investire massicciamente nell’acquisto di Zero-Day

Non assistiamo più solo ad attacchi “a pioggia” che sfruttano vecchie falle non aggiornate. I gruppi d’élite oggi utilizzano vulnerabilità sconosciute per penetrare silenziosamente nelle reti delle multinazionali, rimanendovi nascosti per mesi. Secondo i dati del catalogo KEV (Known Exploited Vulnerabilities) della CISA, il tempo medio di permanenza di un attaccante in una rete è aumentato paradossalmente proprio grazie agli Zero-Day: poiché nessuna firma di antivirus può rilevarli, i criminali possono esfiltrare dati, proprietà intellettuali e segreti finanziari con una calma inquietante. Il delitto perfetto nell’era digitale è quello di cui la vittima non si accorge nemmeno mentre avviene, o di cui si accorge quando il danno è ormai sistemico. 

La psicologia del ricercatore: tra etica e sopravvivenza 

Dietro ogni Zero-Day c’è, inevitabilmente, una mente umana. Spesso si tratta di giovani talenti della matematica e dell’ingegneria, nati in contesti economici dove lo stipendio di uno sviluppatore legale è una frazione infinitesimale di quanto un broker potrebbe offrire per una singola falla critica. 

Qui il crimine si fa sociologico. Il reclutamento avviene su piattaforme criptate o durante conferenze hacker, dove la promessa di una vita agiata attira ricercatori che inizialmente pensano di collaborare a progetti di “sicurezza difensiva”. La realtà è brutale: una volta venduta la vulnerabilità, il ricercatore perde ogni controllo sul suo utilizzo. Quello che era nato come un elegante esercizio di logica e codice può diventare lo strumento usato per silenziare un dissidente politico o per tenere in ostaggio i sistemi di un ospedale pediatrico. Il mercato degli Zero-Day vive su questo dilemma etico costante, alimentato da una domanda governativa e criminale che non accenna a diminuire. 

L’evoluzione delle difese e il ruolo dell’intelligence 

Per contrastare questo commercio, le autorità internazionali hanno dovuto cambiare radicalmente strategia. L’Operazione Cronos del 2024 (da non confondere con le omonime inchieste nazionali italiane su frodi in ambito agricolo) ha segnato un punto di non ritorno. Quella task force, guidata dalla National Crime Agency britannica con il supporto di FBI ed Europol, non si è limitata a sequestrare server, ma ha iniziato a mappare le filiere produttive degli exploit, colpendo la fiducia interna ai cartelli. 

Nel 2026, la risposta non è più solo reattiva. Le aziende non possono più permettersi di aspettare la “patch” (il cerotto software) ufficiale. La nuova frontiera è la Detection and Response basata sull’intelligenza artificiale, che non cerca virus noti, ma analizza comportamenti anomali. Team come ilProject Zero di Google lavorano senza sosta per trovare queste falle prima dei criminali, ma è una lotta contro il tempo. Governi e coalizioni internazionali stanno ora spingendo per una regolamentazione più severa dei broker di vulnerabilità, cercando di equipararli legalmente ai trafficanti di armi pesanti, nel tentativo di prosciugare il mercato grigio. 

Conclusioni 

Il mercato degli Zero-Day rappresenta l’ultima, vera frontiera del crimine professionale. È un mondo dove la conoscenza pura è l’arma suprema e dove il silenzio ha un valore economico incalcolabile. Nel 2026, la sfida della cybersecurity si è spostata drasticamente: non si tratta più solo di innalzare muri difensivi, ma di accettare l’idea che i muri possano avere crepe invisibili e imparare a gestire l’incertezza

La lotta contro il commercio illecito di queste vulnerabilità è, in ultima analisi, la battaglia per la trasparenza e la stabilità del nostro futuro digitale. Finché esisterà un incentivo economico così potente per mantenere segrete le falle invece di ripararle, resteremo tutti ostaggi di un sistema intrinsecamente fragile. La sicurezza non è un traguardo, ma un processo di vigilanza etica costante contro chi preferisce il profitto dell’ombra alla luce della conoscenza condivisa. 

Riferimenti

CISA (Cybersecurity & Infrastructure Security Agency) (2026). Known Exploited Vulnerabilities Catalog: Annual Trend Report. Washington D.C.: U.S. Department of Homeland Security. Disponibile presso: cisa.gov/kev 

Europol – European Cybercrime Centre (EC3) (2026). Internet Organised Crime Threat Assessment (IOCTA) 2026: The Strategic Proliferation of Zero-Day Exploits. L’Aia: Europol Publications. 

Google Project Zero (2025/2026). Year in Review: Analysis of Zero-Day Exploits Discovered In The Wild. Mountain View: Google Security Blog. Disponibile presso: googleprojectzero.blogspot.com 

Mandiant (Google Cloud) (2026). M-Trends 2026: Insights from the Cyber Frontlines. Alexandria, VA: Mandiant Intelligence. Disponibile presso: cloud.google.com/mandiant 

National Crime Agency (NCA) (2024/2026). Operation Cronos: International Disruptive Action against Ransomware Infrastructure. London: NCA Media Centre. Disponibile presso: nationalcrimeagency.gov.uk 

Hai un articolo nel cassetto? Legal Tech Magazine è sempre alla ricerca di nuove voci attraverso cui raccontare l’evoluzione del settore. Puoi sottoporci la tua proposta attraverso il seguente form: avremo cura di leggerla e di valutarne la pubblicazione.

SCRIVI PER NOI

Non solo un Magazine, ma anche una Mappa, un Forum, un Report e un’Academy. Se ti interessano i progetti di Legal Tech Italy e desideri ricevere aggiornamenti sulle sue iniziative presenti e future, iscriviti alla newsletter e non perderti nessuna novità.

SEGUICI