La lettura più utile dell’IOCTA 2026 di Europol non risiede nell’idea che l’AI renda i criminali più pericolosi. Detta così, sarebbe una scorciatoia. Il punto è più sottile. Il cybercrime sta comprimendo i propri tempi operativi, mentre le indagini restano vincolate a prove, giurisdizioni, richieste legali, cooperazione internazionale e garanzie procedurali.
In questo scenario nasce il vero divario. I criminali possono automatizzare una campagna, cambiare infrastruttura, ruotare proxy o usare servizi criminali a noleggio. Possono inoltre monetizzare i dati rubati e migrare verso nuovi canali molto più rapidamente di quanto una struttura pubblica riesca a identificare, documentare, attribuire e interrompere l’operazione. L’intelligenza artificiale poi agisce come un vero e proprio moltiplicatore. Non inventa il cybercrime da zero, ma accelera frodi già note come phishing, business email compromise, CEO fraud, impersonificazioni, truffe sentimentali, schemi di investimento e falsi supporti tecnici. L’AI genera testi più credibili, adatta lingua e tono, migliora la personalizzazione e aiuta a produrre script, immagini, voci o varianti persuasive. Il salto non è magico. È industriale.
Una frode BEC, per esempio, non deve più limitarsi a un messaggio generico scritto male. Può imitare il tono dell’azienda, simulare un’urgenza gerarchica, adattarsi alla lingua della vittima e sfruttare informazioni pubbliche su ruoli, fornitori o processi interni. Nei call center fraudolenti, chatbot vocali e script generati dall’AI possono filtrare numerose vittime prima dell’intervento umano, riducendo i costi e aumentando i volumi.
Europol descrive un ecosistema in cui l’offerta criminale assomiglia sempre di più a un mercato di servizi. Non è necessario possedere tutte le competenze. Si possono infatti acquistare accessi iniziali, malware, infrastrutture, servizi di riciclaggio, kit di phishing, ransomware-as-a-service e crime-as-a-service. Questa modularità riduce la barriera d’ingresso e rende l’intero sistema più resiliente.
Il ransomware illustra bene questo cambio di fase. Nel 2025 Europol ha osservato oltre 120 brand di ransomware attivi. Tuttavia, il fulcro non è più soltanto cifrare i file e chiedere un riscatto. Sempre più spesso l’obiettivo è rubare dati, minacciarne la pubblicazione, esercitare pressioni reputazionali e colpire clienti, partner o dipendenti, combinando estorsione, attacchi DDoS e comunicazione diretta. L’intento è trasformare una crisi tecnica in una crisi aziendale sistemica.
Accanto all’AI si trovano strumenti che non sono criminali in sé, ma che diventano potenti quando combinati. La crittografia end-to-end protegge comunicazioni legittime, giornalisti, imprese e cittadini. Tuttavia, il suo abuso da parte delle reti criminali complica l’accesso legale ai dati. I proxy residenziali rendono il traffico ostile indistinguibile da quello domestico. Criptovalute, mixer ed exchange opachi possono rendere difficile tracciare i flussi finanziari, mentre le SIM box permettono campagne massive di messaggi, chiamate e la creazione di account falsi.
Il risultato è una criminalità meno dipendente dal singolo gruppo e più legata all’infrastruttura. Anche quando un forum viene chiuso o una rete colpita, l’ecosistema può rigenerarsi e ricomporsi altrove. La repressione resta necessaria, ma non basta a invertire la dinamica se il mercato criminale continua a offrire componenti facilmente sostituibili.
Emerge poi il tema più delicato: l’accesso ai dati. Europol richiede maggiori capacità tecniche, cooperazione internazionale, collaborazione con il settore privato e strumenti per accedere legalmente alle prove digitali. La Commissione europea ha già inserito lawful access, data retention, intercettazione legale, digital forensics e AI per le autorità tra le priorità della propria roadmap per il 2025.
In questo ambito però occorre essere precisi. Lawful access non significa accesso libero, ma basato su legge, necessità, proporzionalità, controllo e rimedi. Allo stesso modo, la data retention non implica la conservazione indiscriminata di ogni informazione. La giurisprudenza europea pone infatti limiti stretti alla conservazione generalizzata dei dati di traffico e localizzazione. La cooperazione pubblico-privata, inoltre, non può trasformarsi in una scorciatoia informale per ottenere i dati degli utenti.
Questa è la tensione centrale. Si tratta di capire come ridurre il vantaggio operativo del cybercrime senza indebolire le infrastrutture di fiducia digitale. Una crittografia compromessa per facilitare le indagini può generare vulnerabilità sistemiche per tutti. Allo stesso tempo, ignorare il problema garantisce alle reti criminali il vantaggio concreto di muoversi in ambienti distribuiti, cifrati e giuridicamente frammentati.
La soluzione non risiede in formule semplici. Non bastano più AI per la polizia, più accesso ai dati o la scelta drastica tra vietare e liberalizzare la crittografia. Serve una capacità d’azione pubblica più rapida che non rinunci alle garanzie che distinguono un’indagine legittima dalla sorveglianza permanente.
Il cybercrime contemporaneo quindi corre alla velocità delle piattaforme. Di conseguenza, la risposta europea dovrà imparare a muoversi più velocemente, senza tuttavia imitare la logica priva di ‘regole’ dei propri avversari. Il punto non riguarda solo il possesso degli strumenti migliori, ma la capacità di combinare tecnologia, diritto e cooperazione senza trasformare l’eccezione investigativa in una prassi ordinaria.
Glossario
AI generativa: sistemi capaci di produrre testi, immagini, audio, codice o altri contenuti.
AI agentica: sistemi capaci di pianificare ed eseguire parti di un workflow con maggiore autonomia.
BEC: business email compromise, frode basata sulla compromissione o imitazione di comunicazioni aziendali.
CaaS: crime-as-a-service, vendita o affitto di servizi criminali digitali.
E2EE: crittografia end-to-end.
Proxy residenziali: reti di indirizzi IP associati a connessioni domestiche, usate per rendere il traffico più difficile da distinguere da quello legittimo.
RaaS: ransomware-as-a-service, modello in cui strumenti e infrastrutture ransomware vengono offerti come servizio.
Velocity gap: divario tra rapidità operativa criminale e tempi investigativi, legali e istituzionali.
Fonti
Ufficiali
The evolving threat landscape. How encryption, proxies and AI are expanding cybercrime – IOCTA 2026
Commission presents Roadmap for effective and lawful access to data for law enforcement
Mapping CJEU limits on data retention frameworks: A basic introduction
The importance of cryptography for the digital society
FBI Warns of Increasing Threat of Cyber Criminals Utilizing Artificial Intelligence
Agenzie / stampa
Europol warns AI, encryption and proxies are expanding cybercrime in the EU
Approfondimenti economici / settore privato
2025 Crypto Crime Trends from Chainalysis
Europol Predicts Cybercrime “Velocity Gap” Will Widen in 2026
