Operazione LeakBase segna uno dei colpi più pesanti al cybercrime degli ultimi anni. Il 4 marzo 2026 Europol, insieme a 14 paesi partner, ha smantellato LeakBase, forum globale per il traffico di dati rubati, credenziali compromesse e stealer logs, con oltre 142.000 utenti registrati. Il marketplace, attivo dal 2021 sul web aperto, contava circa 32.000 post pubblici e più di 215.000 messaggi privati. Dopo circa 100 azioni di enforcement coordinate il 3 marzo, le autorità hanno sequestrato dominio e database completi della piattaforma. Ora la fase più delicata è iniziata: l’analisi dei dati per identificare migliaia di utenti che credevano di operare nell’anonimato.
Cosa leggere
LeakBase: l’hub globale dei database rubati
LeakBase nasceva nel 2021 come combinazione tra forum e marketplace. Non era ospitato nel dark web, ma accessibile direttamente sul web aperto. Questo lo rendeva ancora più pericoloso, perché abbassava la soglia di ingresso per chi voleva acquistare coppie email-password, archivi provenienti da malware infostealer, database aziendali compromessi e raccolte di credenziali utili per account takeover, frodi finanziarie e intrusioni mirate. Il sistema interno funzionava con un modello a crediti e reputazione. Gli utenti più attivi guadagnavano fiducia, facilitando le transazioni. La piattaforma archiviava sia leak storici sia breach recenti, creando un vero e proprio hub strutturato del traffico di dati compromessi. Un dettaglio che ha attirato l’attenzione degli investigatori riguarda la regola interna che vietava la vendita di dati relativi alla Russia. Una clausola che distingue LeakBase da altri marketplace e che suggerisce dinamiche geopolitiche ancora oggetto di approfondimento investigativo. Il volume di attività dimostra quanto il forum fosse centrale nell’economia sommersa dei dati rubati. Con oltre 142 mila account registrati entro dicembre 2025, LeakBase rappresentava una piazza digitale globale per lo scambio illecito di informazioni sensibili.
L’operazione internazionale coordinata da Europol
L’azione è stata coordinata dall’European Cybercrime Centre (EC3) di Europol, con il supporto del Joint Cybercrime Action Taskforce (J-CAT) ospitato a L’Aia. Hanno partecipato autorità di Australia, Belgio, Canada, Germania, Grecia, Kosovo, Malesia, Paesi Bassi, Polonia, Portogallo, Romania, Spagna, Regno Unito e Stati Uniti. La fase preparatoria ha incluso un vero e proprio data sprint operativo, durante il quale analisti internazionali hanno incrociato informazioni provenienti da indagini parallele. Un data scientist dedicato ha strutturato milioni di punti dati per generare piste operative concrete. La mappatura dell’infrastruttura tecnica di LeakBase e l’analisi delle attività degli utenti hanno permesso di pianificare interventi sincronizzati su scala globale. Il 3 marzo 2026 le forze dell’ordine hanno eseguito circa 100 azioni di enforcement coordinate in tempo reale. Arresti, perquisizioni domiciliari, sequestri di dispositivi digitali e visite di avvertimento mirate hanno colpito in particolare 37 utenti tra i più attivi della piattaforma. La simultaneità delle operazioni ha massimizzato l’effetto sorpresa, riducendo la possibilità di distruzione di prove o fuga di informazioni.
Il sequestro del dominio e del database: ora parte la caccia digitale
Il 4 marzo 2026 il sito di LeakBase è stato sostituito da una pagina splash delle forze dell’ordine. Ma il vero bottino investigativo non è il dominio, bensì l’intero database della piattaforma.Le autorità hanno acquisito milioni di record strutturati contenenti account, messaggi privati, cronologie di transazione, crediti, reputazioni e metadati tecnici. Questo materiale consente di collegare identità digitali a reati specifici, tra cui frodi, phishing, furto di identità e accessi abusivi a sistemi informatici. La fase attuale non è più solo repressiva, ma analitica. Gli esperti stanno lavorando alla deanonimizzazione degli utenti, incrociando informazioni tecniche con indagini in corso in diversi paesi. Ogni messaggio privato, ogni pagamento in crediti, ogni connessione IP rappresenta un potenziale indizio. La narrativa cambia: non si tratta solo dei 37 utenti principali già colpiti, ma di un bacino di 142.000 iscritti ora potenzialmente esposti a verifiche investigative.
EMPACT e la strategia europea contro il cybercrime
L’operazione rientra nel ciclo quadriennale di EMPACT (European Multidisciplinary Platform Against Criminal Threats), che coordina le priorità europee nella lotta contro il crimine organizzato. Il contrasto al traffico di dati rubati è considerato una minaccia strategica, poiché alimenta un ecosistema più ampio di attività criminali. Il modello adottato in Operazione LeakBase dimostra una crescente capacità delle forze dell’ordine di intervenire non solo su singoli individui, ma sull’intera infrastruttura dell’economia sommersa digitale. La collaborazione tra paesi, lo scambio sicuro di informazioni sensibili e l’uso di analisi avanzata dei dati rappresentano un cambio di paradigma. Il messaggio è chiaro: l’illusione dell’anonimato online è sempre più fragile.
Il messaggio di Edvardas Šileris
Edvardas Šileris, capo dell’European Cybercrime Centre di Europol, ha sottolineato che nessun angolo di internet sfugge alla portata delle forze dell’ordine internazionali. Ha dichiarato che ciò che era iniziato come un forum ombroso per dati rubati è stato smantellato e che chi credeva di nascondersi dietro l’anonimato ora viene identificato e chiamato a rispondere.
Il messaggio non è solo repressivo, ma simbolico. LeakBase era un punto di riferimento stabile per il traffico di credenziali compromesse. La sua chiusura dimostra che le piattaforme attive sul web aperto non sono immuni da interventi coordinati su scala globale.
La fase preventiva e la consapevolezza pubblica
Dopo lo smantellamento, Europol avvia una fase di prevenzione e sensibilizzazione. Le autorità ricordano che i dati rubati finiscono su forum come LeakBase e vengono utilizzati per truffe, intrusioni aziendali e campagne di phishing mirate. Il consiglio resta tecnico ma fondamentale: uso di password uniche e robuste, adozione dell’autenticazione a più fattori, monitoraggio delle violazioni e risposta tempestiva agli incidenti.L’operazione dimostra che la lotta al cybercrime non si limita all’arresto di singoli hacker. Colpisce le infrastrutture, sequestra i database e sfrutta gli stessi strumenti digitali usati dai criminali. E ora la vera partita si gioca nell’analisi dei dati. Perché dietro quei 142.000 account registrati potrebbero nascondersi identità reali che presto riceveranno una visita o una convocazione. LeakBase è stato smantellato. Ma la caccia, quella vera, è appena iniziata.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
