PayPal nel mirino: 15,8 milioni di account in vendita sul dark web – Cosa sappiamo davvero, chi mente e perché nessuno è al sicuro

Un nuovo, gigantesco data breach scuote la fiducia nei sistemi di pagamento digitali. Tra dichiarazioni smentite e retorica aziendale, il pericolo è concreto: milioni di credenziali PayPal sono finite nelle mani degli hacker e ora sono in vendita al miglior offerente. La tua password è davvero al sicuro?

Il nuovo shock della sicurezza digitale: cosa succede a PayPal?

PayPal si ritrova di nuovo sotto i riflettori, ma stavolta non per innovazione o risultati finanziari:
15,8 milioni di account compromessi, dati in vendita sul dark web a soli 750 dollari.
Un archivio di 1,1 GB ribattezzato “Global PayPal Credential Dump 2025”, carico di email e password (in chiaro!), è apparso tra le offerte dei cybercriminali.

Il “venditore”, noto nel sottobosco del cybercrime, vanta di avere non solo le credenziali, ma anche endpoint personalizzati per ogni utente, utili ad automatizzare i login e spremere ogni servizio collegato.
Una manna per truffatori, phisher e malintenzionati: una miniera d’oro per pochi centesimi ad account.

PayPal minimizza, ma le contraddizioni restano

Mentre la notizia corre veloce e i forum del settore impazziscono, PayPal prova a gettare acqua sul fuoco:

“Non è una nuova violazione, sono solo i vecchi dati del 2022 già gestiti e bloccati. Nessun nuovo problema di sicurezza.”


Ma qualcosa non torna:

  • Il venditore del dump nega tutto, affermando che i dati sono nuovi, freschi di maggio 2025.
  • PayPal ha effettivamente subito una multa di 2 milioni di dollari nel gennaio 2025 per le lacune emerse nel 2022, dopo un massiccio attacco di credential stuffing (furto di credenziali già note e riciclate su altri servizi).
  • Tuttavia, molti campioni del nuovo archivio sembrano contenere anche informazioni “fresche”, compatibili con il furto tramite malware infostealer – un attacco che colpisce direttamente i dispositivi degli utenti, rubando password e dati mentre si naviga o si accede alle piattaforme di pagamento.


A oggi, nessuna fonte indipendente ha confermato la reale datazione del leak.
Una sola certezza: se il dump è autentico, l’impatto è devastante.

Perché il dark web è pieno di questi dati? Chi compra e come usa le credenziali PayPal?

Il “mercato nero” dei dati personali non è mai stato così florido.

  • 15,8 milioni di account PayPal (prezzo: meno di 0,05$ l’uno)
  • Credenziali email/password in chiaro, spesso riutilizzate su più siti (un suicidio digitale)
  • Endpoint personalizzati: permettono login automatici e frodi a ripetizione
  • Possibili dettagli associati: indirizzi, numeri di telefono, dati transazionali


Chi compra questi dump?

  • Hacker e criminali informatici, che testano le credenziali su altri servizi (bancari, social, e-commerce)
  • Phisher che sfruttano le info per campagne mirate
  • Scammer che tentano il furto diretto di denaro o l’usurpazione d’identità


Un archivio di questa portata permette campagne massicce di credential stuffing, phishing a cascata, furti di fondi e ricatti.
Il rischio reale? Anche se PayPal non fosse stato direttamente “bucato”, milioni di utenti pagano la loro superficialità (password riutilizzate, sicurezza ignorata) e la perenne rincorsa delle aziende contro attacchi sempre più evoluti.

Chi mente, chi minimizza: battaglia tra PayPal e i venditori di dati

Da una parte PayPal che smentisce, dall’altra gli hacker che giurano di aver “bucato” tutto da capo.
La verità, spesso, sta in mezzo:

  • Parte dei dati potrebbe essere “vecchia” ma aggiornata grazie a malware recenti (infostealer che colpiscono browser, PC, telefoni).
  • Il resto potrebbe essere frutto di scraping, raccolta di credenziali dai device infetti (senza che PayPal venga realmente violato nei suoi server).
  • Nessuno può garantire la sicurezza assoluta: basta una disattenzione dell’utente per cadere vittima.


Sicurezza, davvero?
PayPal investe da anni in crittografia, autenticazione a due fattori, sistemi di allerta e partner di sicurezza. Ma se l’utente non aggiorna password, non attiva il 2FA o cade in trappole phishing, ogni sforzo è inutile.

Che cosa rischiano gli utenti? Non solo soldi, ma la loro identità digitale

La vendita massiva di credenziali PayPal può comportare:

  • Furto diretto di denaro dal conto PayPal
  • Acquisti fraudolenti su siti collegati
  • Attacchi a cascata su email, social, banca
  • Phishing personalizzato ai tuoi contatti
  • Ricatti, scam, estorsioni


Basta una mail + password per innescare un effetto domino: chi non cambia password, chi non usa il 2FA, chi clicca su link sospetti è la prima vittima.

Come difendersi? La sicurezza non è mai “automatizzata”

Cambia subito la password PayPal.

Usa una password unica, mai riutilizzata, meglio ancora con un password manager.

Attiva l’autenticazione a due fattori (2FA): è l’unico vero baluardo.

Controlla regolarmente i movimenti e segnala ogni transazione sospetta.

Diffida da link ricevuti via email/SMS: i criminali sfruttano le paure per mandare finti alert e rubare altre info.

Aggiorna sempre i dispositivi (PC, smartphone) e usa software di sicurezza.

In caso di dubbio, contatta direttamente PayPal, mai tramite link sospetti.

GDPR e doveri delle aziende: cosa rischia chi non informa

Le aziende europee (ma anche quelle globali che operano in UE) sono obbligate per legge a informare subito utenti e autorità in caso di fuga dati. Inadempienze e minimizzazioni portano a multe, class action e crollo di fiducia.
Non sottovalutare mai la trasparenza.

Indagini in corso, rischio ancora alto

Le autorità di tutto il mondo (Interpol, Europol, FBI) stanno indagando. Ma finché le credenziali sono già state vendute, la “porta” è spalancata.
Solo la consapevolezza e la prudenza individuale possono ridurre il rischio reale.

In sintesi: nessuno è al sicuro per sempre

La tecnologia avanza, ma anche il crimine digitale.
La sicurezza perfetta non esiste: aggiornati, informati, proteggiti.
La differenza la fa il tuo comportamento, non le dichiarazioni ufficiali.