I dati rappresentano la principale moneta di scambio nei mercati criminali digitali. L’allarme di Europol.
Il nuovo Internet Organised Crime Threat Assessment (IOCTA) 2025 di Europol porta alla luce una verità scomoda: i dati non sono solo vittime passive degli attacchi informatici, ma ormai rappresentano la principale moneta di scambio nei mercati criminali digitali. Nel report dal titolo Steal, Deal and Repeat, Europol evidenzia come la sottrazione, la rivendita e l’utilizzo illecito dei dati stiano alimentando un ecosistema criminale sofisticato e in continua evoluzione.
Secondo le principali evidenze del rapporto, le informazioni personali vengono sfruttate in tre modi distinti: come bersagli diretti (ad esempio nei ransomware); come mezzi per altri reati (frodi, estorsioni, sfruttamento minorile) e come merci da scambiare, con interi mercati che ruotano attorno alla loro compravendita.
AI generativa e social engineering: la nuova arma dei cybercriminali
Tra le tecniche più efficaci per ottenere accessi non autorizzati spicca il social engineering, oggi potenziato dall’uso dell’AI generativa. I Large Language Models (LLM) vengono impiegati per creare messaggi di phishing su misura, realistici e altamente personalizzati, aumentando significativamente le probabilità che la vittima cada nella trappola. L’utilizzo di deepfake vocali e chatbot truffaldini, inoltre, consente campagne di frode su larga scala, difficili da rilevare anche per utenti esperti.
Initial Access Broker e Data Broker: chi fa affari con i nostri dati
Due figure emergono come protagoniste dell’economia illegale dei dati:
- Gli Initial Access Broker (IAB) vendono accessi iniziali a sistemi compromessi (ad esempio credenziali VPN o RDP), spesso utilizzati da gruppi ransomware per completare i propri attacchi.
- I Data Broker, invece, raccolgono e rivendono enormi quantità di dati rubati, inclusi log di infostealer, credenziali, cookie di sessione, informazioni finanziarie e molto altro.
Questi attori utilizzano piattaforme specializzate nel dark web, ma anche canali di messaggistica cifrata (E2EE) per condurre le transazioni. In questi ambienti, la reputazione criminale è un asset fondamentale, costruita attraverso volumi di vendite, feedback positivi e status nei forum clandestini.
Europol: l’industria del crimine come servizio
Nel quadro delineato da Europol, il cybercrime diventa una vera e propria “industria del crimine come servizio” (Crime-as-a-Service), con un’offerta ampia e accessibile anche a criminali con limitate competenze tecniche. Sono disponibili kit di phishing personalizzabili, infostealer in abbonamento, servizi di bulletproof hosting e persino assistenti AI per generare campagne malevole. I prezzi variano in base al valore dell’accesso o dei dati offerti: più elevata è la rilevanza della vittima (ad esempio aziende europee di grandi dimensioni), più alto sarà il costo.
Vulnerabilità sistemiche e sfide investigative
Europol sottolinea come i criminali sfruttino sia falle nei sistemi digitali (vulnerabilità note, brute force, session hijacking) sia comportamenti umani (vishing, insider threats, ingegneria sociale). L’uso crescente delle app E2EE complica ulteriormente il lavoro delle forze dell’ordine, che spesso non riescono a ottenere né i contenuti né i metadati delle comunicazioni in tempo utile per le indagini.
Le raccomandazioni di Europol
Per contrastare questa minaccia crescente, Europol propone:
- l’accesso legale ai contenuti cifrati, tramite cooperazione con fornitori e legislatori;
- una normativa UE armonizzata sulla conservazione dei metadati;
- campagne di alfabetizzazione digitale, rivolte in particolare a genitori, giovani e utenti vulnerabili.
