Il 28 aprile 2026 Europol ha pubblicato la nuova edizione dell’Internet Organised Crime Threat Assessment, il rapporto annuale sulle principali minacce del crimine informatico nell’Unione Europea. Il titolo scelto – “How encryption, proxies, and AI are expanding cybercrime”- è già una sintesi del messaggio centrale: l’intelligenza artificiale, la crittografia end-to-end e le infrastrutture anonimizzate hanno ampliato la capacità operativa delle reti criminali in modo strutturale, non episodico.
Il velocity gap: i criminali corrono più veloci delle forze dell’ordine
Il concetto chiave introdotto dal rapporto è quello di “velocity gap”: i criminali informatici stanno guadagnando terreno sulle forze dell’ordine a un ritmo senza precedenti. Mentre le autorità operano all’interno di framework giuridici che richiedono raccolta di prove, cooperazione internazionale e rispetto del giusto processo, i criminali sfruttano comunicazioni cifrate, tecnologie di anonimizzazione e confini giurisdizionali per agire in modo molto più rapido.
Il velocity gap non riguarda solo la velocità degli attacchi, ma la loro scala e personalizzazione. I criminali integrano automazione e intelligenza artificiale per aumentare l’efficienza e la portata delle loro attività. Gli strumenti di AI generativa vengono usati per personalizzare le tattiche di social engineering, accelerando e occultando le frodi online. Il caller ID spoofing e le SIM farm (capaci di distribuire migliaia di SMS, chiamate e post sui social media) sono diventati facilitatori di frodi su larga scala.
Il ransomware si trasforma: dalla cifratura all’estorsione pura
Il ransomware rimane la minaccia dominante nell’UE, con oltre 120 brand attivi rilevati da Europol nel 2025. Il modello estorsivo si sta spostando dalla cifratura dei dati al furto puro: gli attaccanti fanno sempre meno affidamento sul blocco dei sistemi e sempre più sulla minaccia di esporre i dati sottratti per forzare il pagamento. Un cambiamento che rende le misure di backup, tradizionalmente la principale difesa contro il ransomware, insufficienti da sole.
La relazione tra attori di minaccia ibridi, strutture collegate a Stati, e criminali informatici si sta opacizzando. Gli attori ibridi usano reti criminali come proxy per operazioni destabilizzanti, inclusi attacchi DDoS, intrusioni e ransomware. Nel modello CaaS (Cybercrime as a Service) gli attori ibridi sono semplicemente un altro cliente.
Le implicazioni per le imprese europee
Il rapporto non è destinato solo alle forze dell’ordine. Per le imprese che operano nel mercato europeo, l’IOCTA 2026 fornisce un quadro di rischio che ha dirette implicazioni in termini di compliance.
Sul fronte NIS2, il rapporto descrive esattamente la tipologia di minacce che la Direttiva, recepita in Italia con il D.Lgs. 138/2024, intende presidiare. Le misure di sicurezza che i soggetti NIS devono adottare entro il 31 luglio 2027 non sono adempimenti astratti: corrispondono alle minacce concrete che Europol documenta. La gestione del rischio nella catena di fornitura, il monitoraggio degli incidenti, la risposta agli attacchi ransomware e la protezione dei dati sono i quattro assi su cui il velocity gap si misura anche all’interno delle organizzazioni private.
Sul fronte GDPR, la combinazione di AI generativa e social engineering produce violazioni dei dati personali sempre più difficili da rilevare in tempo utile. I criminali usano strumenti AI per personalizzare le frodi, accelerandole e occultandole. Questo aumenta il rischio che le organizzazioni non si accorgano di una violazione entro le 72 ore previste dall’art. 33 del Regolamento, con le conseguenze sanzionatorie che ne derivano.
Cosa fare adesso
Il velocity gap descritto da Europol non è colmabile solo con investimenti tecnologici. Richiede processi: procedure di incident response documentate e testate, sistemi di monitoraggio continuo, formazione del personale sulle tecniche di social engineering potenziate dall’AI, e una governance della sicurezza che coinvolga il vertice aziendale, non solo il reparto IT. Le imprese che ancora trattano la cybersecurity come un problema tecnico e non come un rischio di business con implicazioni legali dirette stanno già correndo in ritardo.
