La "Valutazione delle minacce legate alla criminalità organizzata su Internet" (#IOCTA) è l'analisi di #Europol sulle minacce e le tendenze in evoluzione nel panorama della criminalità informatica, con particolare attenzione a come è cambiato negli ultimi 12 mesi.

Nell'ultimo anno, la criminalità organizzata ha continuato a evolversi a un ritmo senza precedenti. La rapida adozione di nuove tecnologie e la continua espansione della nostra infrastruttura digitale hanno ulteriormente spostato le attività criminali verso il dominio online. Questo cambiamento ha fatto sì che l'infrastruttura digitale e i dati in essa contenuti siano diventati obiettivi primari, trasformando i dati in una risorsa chiave, fungendo sia da bersaglio che da facilitatore nel panorama delle minacce informatiche.

Il rapporto IOCTA del 2025 "Steal, deal and repeat: How cybercriminals trade and exploit your data" (Nota a piè di pagina, scaricabile [en] qui europol.europa.eu/cms/sites/de…) analizza in dettaglio come i criminali informatici commerciano e sfruttano l'accesso illegale ai dati e come mercificano questi beni e servizi.

I dati personali sono una risorsa centrale per il crimine informatico: vengono rubati, venduti e sfruttati per frodi, estorsioni, attacchi informatici e sfruttamento sessuale.
I criminali usano vulnerabilità dei sistemi e tecniche di ingegneria sociale, potenziate da Intelligenza Artificiale generativa (GenAI) e modelli linguistici (LLM).
Broker di accesso e dati vendono credenziali e accessi compromessi su piattaforme criminali, spesso tramite app di messaggistica cifrata (E2EE).
I dati rubati sono venduti su forum del dark web, marketplace automatizzati (AVC), e canali E2EE.
Le minacce emergenti consistono nell'uso di deepfake vocali, attacchi supply-chain tramite AI, e tecniche come il “slopsquatting” per sfruttare errori degli assistenti AI.

In particolare i criminali ricercano:
Credenziali di accesso (RDP, VPN, cloud)
Informazioni personali (PII), dati finanziari, social media
Dati aziendali e governativi per spionaggio o estorsione
Come vengono sfruttati i dati:

• Come obiettivo: ransomware, furto di identità, frodi
• Come mezzo: per profilare vittime, estorcere denaro o informazioni
• Come merce: venduti su forum, marketplace, canali E2EE
  Come vengono acquisiti dati e accessi
• Ingegneria sociale: phishing, vishing, deepfake vocali, ClickFix
• Malware: infostealer, RAT, exploit kit
• Vulnerabilità di sistema: attacchi brute force, skimming, MitM
  Chi sono gli attori criminali
• Initial Access Brokers (IABs): vendono accessi iniziali
• Data Brokers: vendono dati rubati
• Gruppi APT e minacce ibride: spesso sponsorizzati da stati
• Criminali specializzati in frodi e CSE: usano i dati direttamente
  Dove avviene la compravendita
• Dark web: forum, marketplace, canali E2EE
• Servizi offerti: phishing-kit, infostealer, spoofing, proxy residenziali
  Cultura criminale: reputazione, badge, ruoli da moderatore

Raccomandazioni del Rapporto
La condivisione eccessiva di dati online aumenta la vulnerabilità, soprattutto per i minori.
L’uso di E2EE ostacola le indagini; servono regole armonizzate per la conservazione dei metadati.
Abuso dell’AI: deepfake, fingerprint digitali falsi, attacchi supply-chain tramite suggerimenti errati degli assistenti AI.
Disgregazione dell’intelligence: doxxing e hacktivismo complicano le indagini e la validazione delle prove.

Conclusioni
Il rapporto sottolinea la necessità di:

• Accesso legale ai canali E2EE ((End-to-End Encrypted)
• Standard UE armonizzati per la conservazione dei metadati
• Educazione digitale e consapevolezza dei rischi online
• Collaborazione tra forze dell’ordine, aziende e cittadini

Nota: Europol, Steal, deal and repeat - How cybercriminals trade and exploit your data – Internet Organised Crime Threat Assessment, Ufficio delle pubblicazioni dell'Unione Europea, Lussemburgo, 2025.

@Informatica (Italy e non Italy 😁)