Verso la fine del 2025 ho lanciato un sondaggio su diversi social network per capire quante persone conoscessero davvero il funzionamento del mercato degli e-commerce che vendono chiavi software a prezzi stracciati. Dalle risposte è emerso che molti utenti non ne percepiscono la reale pericolosità e che quasi nessuno è consapevole del modello criminale che spesso si cela dietro queste piattaforme. Proprio per questo motivo ho deciso di scrivere questo articolo.

Ci tengo a precisare che non è mia intenzione fare di tutta l’erba un fascio; l’obiettivo è piuttosto quello di invitare alla prudenza e a un approccio più consapevole quando ci si muove in questo settore.

Dentro la fabbrica del cyber-crimine

Negli ultimi anni sono esplosi gli e‑commerce che vendono chiavi software (Windows, Office, suite creative, giochi) a prezzi talmente bassi da sembrare l’affare del secolo. Dietro a molti di questi store non c’è però il classico “rivenditore aggressivo”, ma una vera e propria filiera del cyber-crimine che si finanzia con carte rubate, data breach e riciclaggio strutturato dei proventi.

In questo articolo provo a ricostruire la catena end‑to‑end: da dove arrivano i fondi, come vengono creati gli store e in che modo il denaro rientra “pulito” nel circuito finanziario, con riferimenti a report e operazioni di polizia su scala internazionale.

1. Dove trovano i soldi

Il motore economico di questi e‑commerce è il carding, cioè l’uso sistematico di carte di pagamento rubate per comprare beni rivendibili (in questo caso chiavi software) o per spostare denaro in modo difficilmente tracciabile. Le carte e i profili completi arrivano da data breach su larga scala e da malware “infostealer” che esfiltrano password e dati di pagamento direttamente dai browser delle vittime.

Sul dark web questi pacchetti vengono venduti a pochi euro a record, spesso con filtri per paese, banca o BIN, mentre analisi recenti mostrano migliaia di carte italiane in vendita con un valore medio inferiore ai 10 euro, segno della forte saturazione del mercato. Prima di essere usate per acquistare chiavi software, le carte vengono testate con micro‑transazioni automatizzate su e‑commerce legittimi, così da scartare subito quelle bloccate.

Un aspetto importante, confermato anche da grandi operazioni come “Card Shop” coordinate dall’FBI, è la scala industriale del fenomeno: un singolo forum di carding è stato collegato alla vendita di centinaia di migliaia di carte e a perdite potenziali per centinaia di milioni di dollari. Più la domanda di chiavi “super scontate” cresce, più questi marketplace hanno incentivo a rifornirsi di nuovi lotti di dati rubati.

2. Come vengono creati gli store

Una volta garantita la fonte di finanziamento, i criminali costruiscono lo storefront: un e‑commerce in apparenza legittimo, con dominio, logo, recensioni e processore di pagamento funzionante. Per farlo usano spesso identità sintetiche, combinando dati reali e inventati per passare controlli KYC superficiali, oppure si appoggiano a “money mule” che aprono conti o wallet a proprio nome in cambio di una percentuale.

Dal punto di vista tecnico, lo stack è sorprendentemente standard: CMS diffusi (WordPress con WooCommerce, Magento, ecc.), hosting economico o VPS pagate in criptovaluta, certificati TLS gratuiti e temi premium spesso piratati. La presenza di una home curata, qualche pagina di “Chi siamo” e un minimo di FAQ è spesso sufficiente per convincere l’utente medio, soprattutto se è arrivato sul sito da un motore di ricerca in cerca di “Windows 11 product key economica”.

L’integrazione con i gateway di pagamento punta al compromesso tra frizione bassa e rischio accettabile: provider con onboarding rapido e controlli antifrode limitati, oppure solo metodi poco reversibili come criptovalute, gift card e voucher digitali. Sullo sfondo c’è l’ecosistema del Crime‑as‑a‑Service: chi non ha competenze può acquistare veri e propri kit “chiavi in mano” che includono sito, manuale di carding, configurazioni antifrode e supporto via Telegram.

3. Da dove arrivano le chiavi software

Le chiavi software vendute da questi e‑commerce hanno origini diverse e non sempre sono completamente “false” nel senso tecnico del termine. Una quota non trascurabile deriva da acquisti effettuati con carte rubate su canali legittimi (vendor ufficiali, reseller autorizzati, store digitali), con le chiavi rivendute rapidamente prima che la transazione venga contestata o annullata.

In altri casi parliamo di licenze volume aziendali sottratte a grandi clienti (aziende, enti pubblici, università) e poi spezzettate in singole attivazioni vendute come se fossero regolari licenze digitali retail. Per alcuni prodotti entrano in gioco anche keygen, loader e tool di attivazione che sfruttano debolezze nei sistemi di licensing, permettendo di generare o riutilizzare chiavi in modo abusivo.

Un trend crescente riguarda la vendita di account compromessi al posto delle chiavi: per giochi, suite creative e software in abbonamento è comune trovare credenziali per account completi (con abbonamenti attivi) ottenute tramite credential stuffing e phishing massivo. L’utente finale spesso non si accorge che si sta collegando con le credenziali di qualcuno che potrebbe perdere l’accesso da un momento all’altro.

4. Come riciclano il denaro

Quando un utente paga una chiave su questi store, sta alimentando una catena di riciclaggio che segue i tre passaggi classici: placement, layering, integration.

Nella fase di “placement” i fondi entrano nel sistema finanziario attraverso conti di mule, wallet crypto o bilanci di piccoli store “di copertura” che vendono anche prodotti leciti. Nel “layering” il denaro viene frammentato e spostato: conversioni in criptovalute su exchange poco regolamentati, passaggi attraverso mixer, transazioni incrociate tra più wallet e giurisdizioni, acquisto di beni digitali facilmente rivendibili come gift card.

Infine, nella fase di integration, i proventi rientrano nell’economia legale sotto forma di prelievi in contanti, prestiti fittizi tra società controllate, investimenti in attività reali o “stipendi” pagati a collaboratori che ignorano l’origine illecita dei fondi. Diversi studi sul riciclaggio via e‑commerce mostrano come questi schemi sfruttino proprio la somiglianza con il commercio legittimo: stessi circuiti, stessa UX, ma motivazioni completamente diverse.

5. Perché è un problema (anche) di chi compra

Dal punto di vista dell’utente finale, la percezione è spesso: “Se qualcosa va male, al massimo perdo 20 euro per una key che non funziona”. In realtà il danno è più ampio: quelle poche decine di euro contribuiscono a dare valore economico a data breach, furti di carte e infrastrutture criminali sempre più sofisticate.

C’è poi un tema di rischio diretto. Le chiavi possono essere disattivate in qualsiasi momento dai vendor, lasciando l’utente o l’azienda con software non attivabile e problemi di compliance in caso di audit, soprattutto in ambito PA e scuole. Inoltre, molti store distribuiscono installer modificati, loader e strumenti di attivazione che sono un veicolo ideale per malware, infostealer e backdoor di lungo periodo sulla rete aziendale.

Infine, sul piano sistemico, la domanda di chiavi “miracolosamente economiche” aumenta il valore dei dati rubati e incentiva nuove campagne di phishing, malware e compromissioni di siti e‑commerce legittimi. In altre parole, ogni “affare” ottenuto comprando una licenza sottocosto spinge un po’ più in alto il ROI del cyber-crimine nel suo complesso.

6. Come difendersi (e cosa osservare come comunità tecnica)

Per chi usa software:

• acquistare licenze solo tramite canali ufficiali o partner riconosciuti;
• diffidare di sconti permanenti superiori al 60‑70% rispetto al listino del vendor;
• usare carte virtuali e limiti di spesa dedicati agli acquisti online.

Per chi gestisce e‑commerce legittimi:

• implementare controlli anti‑carding (rate limiting, analisi comportamentale, 3D Secure 2);
• monitorare micro‑transazioni anomale e pattern di tentativi di pagamento falliti;
• curare logging e tracciabilità per facilitare rilievi forensi e collaborazione con le autorità.

Per chi fa ricerca o si occupa di sicurezza:

• seguire i report periodici di Europol, ENISA e delle principali security company per avere numeri aggiornati e casi studio da citare;
• monitorare come si muovono questi store su SEO e social, analizzando tattiche di posizionamento e campagne sponsorizzate borderline;
• studiare gli schemi di riciclaggio via piattaforme di pagamento, marketplace e criptovalute per riconoscere segnali precoci in reti aziendali e PA.

Conclusioni

Spesso cadiamo nell’errore di considerare l’acquisto di una licenza a basso costo come una piccola “furberia” innocua, un modo rapido per ottimizzare il budget su progetti personali o aziendali. La realtà, come abbiamo visto, è ben diversa: ogni transazione su questi store è carburante che alimenta direttamente reti di botnet, furti d’identità e riciclaggio internazionale. Nell’IT non esiste il “pasto gratis”: se una licenza Enterprise costa come un caffè, il vero prezzo lo sta pagando qualcun altro con i propri dati o la propria sicurezza finanziaria. La mia raccomandazione è di mantenere sempre alta la guardia: verificate le fonti, diffidate degli sconti impossibili e ricordate che l’integrità della vostra infrastruttura inizia dalla legittimità del software che ci fate girare sopra. La prudenza non è solo una best practice tecnica, è una responsabilità etica.

Riferimenti

Per questo articolo sono state analizzate fonti diverse, e nello specifico:

1. analisi di marketplace sul dark web, carding e data breach in report di vendor di sicurezza e osservatori indipendenti;
2. documentazione su carding, attacchi di card testing e prevenzione nei pagamenti online;
3. report su deep web, dark web e modelli Crime‑as‑a‑Service con focus su vendita di dati e accessi;
4. operazioni di law enforcement internazionali contro forum di carding e marketplace illegali (es. “Card Shop”, takedown di market di carte e identità);
5. approfondimenti sui rischi legali e di sicurezza legati all’uso di software pirata e chiavi illegali.

Le opinioni in quanto tali sono opinabili e nulla ti vieta di approfondire l’argomento.

Risorse:

• Crowdsec
• Canale Telegram