IA: l’arma in più delle reti criminali

In Europa, dove si concentrano sia sofisticate economie digitali che articolati sistemi di governance, la criminalità organizzata sta attraversando una fase di profonda trasformazione. L’intelligenza artificiale (IA) sta diventando sempre più una risorsa strategica anche per le reti criminali. Dai deepfake per falsificare identità ai modelli predittivi per ottimizzare il traffico di droga, l’IA rappresenta una forza moltiplicatrice per attività criminali ad alta intensità tecnologica. L’ultimo rapporto “EU Serious and Organised Crime Threat Assessment 2025” (EU-SOCTA 2025) di Europol evidenzia come le reti criminali stiano evolvendo in entità globali, tecnologicamente avanzate e sempre più integrate nell’economia legale. Questa metamorfosi rappresenta una minaccia crescente per la sicurezza, l’economia e la stabilità politica dell’Unione europea. 

Quali sono, dunque, i principali ambiti di applicazione dell’IA nel contesto della criminalità organizzata? E quali implicazioni ne derivano in termini di sicurezza e governance, tanto sul piano politico quanto sul più ampio scenario geopolitico internazionale?

L’IA come strumento di potenziamento per le economie criminali

L’IA sta trasformando non solo i mercati legali, ma anche le economie criminali, fungendo da moltiplicatore di efficienza, scalabilità e anonimato per le organizzazioni illecite. L’evoluzione tecnologica, se priva di una governance efficace, può, infatti, amplificare le capacità operative della criminalità organizzata seguendo tre direttrici principali: automazione dei reati, sofisticazione dei modelli finanziari e ibridazione tra crimine fisico e digitale. L’IA consente di automatizzare frodi, estorsioni, traffici e attacchi informatici, riducendo l’esposizione diretta degli attori umani e aumentando l’efficacia delle azioni criminali. Tecniche di deep learningvengono già impiegate per la creazione di deepfake vocali e video, phishing e vishing personalizzati e per l’analisi predittiva volta a eludere le attività investigative.

Nel campo del riciclaggio, invece, l’IA abilita nuove forme di occultamento finanziario: dallo smurfingautomatizzato mediante micro-transazioni in criptovalute e fintech all’uso di algoritmi di trading per confondere i flussi illeciti nei mercati ad alta frequenza. Strumenti generativi permettono, inoltre, la produzione di documenti falsi e identità sintetiche sempre più sofisticate, superando le capacità dei sistemi antifrode tradizionali. Secondo Europol (2023), l’efficacia di tali tecniche ha già superato le capacità di rilevamento di molte unità di intelligence finanziaria, generando un significativo divario tra enforcement e innovazione criminale.

Infine, l’integrazione tra intelligenza artificiale e criminalità organizzata sta dando forma a un ecosistema criminale transnazionale, scalabile e decentralizzato, in cui gli attori si comportano come startup agili e capaci di innovare rapidamente. Le applicazioni spaziano dalla vendita di malware-as-a-service adattivi alla generazione automatica di contenuti per disinformazione e destabilizzazione politica, fino alla monetizzazione di dati biometrici e sanitari sul dark web attraverso analisi profilate.

Infiltrazione nell’economia legale

L’IA sta ridefinendo anche le modalità attraverso cui le organizzazioni criminali si infiltrano nei circuiti legali dell’economia, mascherando le proprie attività dietro complesse architetture societarie, operazioni commerciali opache e investimenti ad alta tecnologia. L’IA in questo contesto non è solo uno strumento operativo, ma un facilitatore strutturale dell’integrazione tra economia legale e quella criminale. Le mafie e le organizzazioni criminali transnazionali stanno sfruttando strumenti di automazione finanziaria, intelligenza predittiva e modelli IA di market intelligence per anticipare andamenti settoriali (ad esempio, nel settore edilizio, della logistica o alimentare), orientando gli investimenti leciti a fini di riciclaggio; manipolare algoritmi di pricing e dinamiche di offerta in piattaforme digitali per distorcere la concorrenza e favorire imprese collegate; aggirare controlli bancari e fiscali sfruttando l’IA per la simulazione di attività economiche apparentemente regolari.

Questo comporta una “normalizzazione invisibile” dell’attività criminale, che si mimetizza nella quotidianità del mercato legale, alterando le dinamiche competitive, il diritto del lavoro e le regole fiscali. Si sta assistendo così a fenomeni di “mimetismo legale”, per cui organizzazioni criminali stanno evolvendo verso strutture societarie ibride, in cui la distinzione tra legalità e illegalità si fa sempre più sfumata. Attraverso l’IA queste reti riescono a creare strutture aziendali fittizie con amministratori di comodo, ottimizzate tramite machine learning per ridurre il rischio di controlli fiscali, automatizzare la documentazione contabile e infiltrare appalti pubblici o concessioni attraverso sistemi di bidding automatico che analizzano i bandi e ottimizzano l’offerta in tempo reale. Il rischio è quello di una criminalità “white collar” potenziata dall’IA, che penetra nei nodi chiave del sistema economico (energia, edilizia, ristorazione, servizi digitali) con modalità difficilmente distinguibili dalle pratiche aggressive ma legali delle multinazionali.

Infine, per quanto riguarda l’infiltrazione dell’economia criminale nell’economia legale, le tecnologie IA vengono anche impiegate per gestire catene del valore complesse, camuffando l’origine illecita di beni o risorse. Ciò è particolarmente visibile in filiere agroalimentari, dove sistemi di tracciabilità automatica possono essere contraffatti o manipolati per “legalizzare” prodotti derivanti da attività mafiose o dal caporalato; settori emergenti come quello ambientale e del green business, dove le organizzazioni criminali sfruttano l’IA per simulare processi di certificazione ESG o compensazioni di carbonio, ottenendo fondi pubblici o incentivi attraverso operazioni di “greenwashing criminale”.

Criminalità organizzata e cybercrime: un’integrazione in evoluzione

La convergenza tra criminalità organizzata e cybercrime rappresenta una delle evoluzioni più significative del crimine contemporaneo. Non si tratta di una semplice estensione tecnologica delle attività tradizionali, ma di una trasformazione strutturale che sta ridefinendo le modalità operative, le filiere criminali e i modelli di governance dei gruppi mafiosi. Questa convergenza si articola su due assi principali: l’adozione di competenze e strumenti digitali da parte delle mafie tradizionali e l’alleanza operativa con gruppi nativi digitali, spesso transnazionali, che mettono a disposizione infrastrutture, software e know-how specialistico.

Le dinamiche, tuttavia, variano per area geografica: nei Balcani occidentali il crimine organizzato si intreccia con reti di contrabbando transfrontaliero e instabilità politica, rendendo più difficile la cooperazione giudiziaria e l’applicazione di strumenti investigativi digitali. Secondo Europol, la ‘ndrangheta e le varie reti criminali dei Balcani mostrano una crescente propensione a esternalizzare funzioni cyber a contractor specializzati, creando “joint venture criminali” che uniscono potere territoriale e sofisticazione tecnologica. In un’operazione condotta da Eurojust e Europol nel 2022, sono stati arrestati membri della rete in Italia, Spagna e Germania: gestivano un’infrastruttura transnazionale per phishing, truffe BEC (Business Email Compromise) e riciclaggio tramite identità sintetiche e carte prepagate. Anche il gruppo russo ransomware REvil/Sodinokibi, attivo fino al 2022, è noto per aver collaborato indirettamente con attori criminali legati a economie illegali tradizionali, attraverso la vendita di accessi e strumenti malware. Nel 2023, invece, un’indagine coordinata da Interpol e dalla Joint Cybercrime Action Taskforce (J-CAT) ha individuato una rete criminale con base tra Serbia, Bulgaria e Ucraina. La rete trafficava dati sanitari e biometrici europei, spesso rubati a ospedali pubblici. Tali dati venivano rivenduti a reti mafiose nei Balcani per scopi estorsivi o per ottenere crediti bancari fraudolenti. Il gruppo sfruttava vulnerabilità AI-based in software ospedalieri e infrastrutture cloud. Nei Paesi baltici e scandinavi, pur in presenza di buone infrastrutture digitali, si rileva un aumento dell’uso di IA per frodi bancarie e truffe legate a criptovalute. Nei Paesi mediterranei si osserva una più lenta digitalizzazione delle forze di polizia, che fatica a tenere il passo con reti mafiose sempre più ibride. Nei rapporti con l’Africa settentrionale emerge un interesse crescente da parte di reti criminali euro-mediterranee nell’uso di IA per il controllo delle migrazioni illegali e per la logistica del traffico di esseri umani.

Emergono poi alleanze ibride tra mafie e gruppi cybercriminali internazionali (es. gruppi russi, asiatici o sudamericani), spesso organizzate su piattaforme chiuse o nel dark web. Questi gruppi forniscono toolkit di attacco; infrastrutture cloud decentralizzate; servizi di crime-as-a-service, inclusi AI bot per ingegneria sociale, creazione di identità sintetiche, tecniche di evasione algoritmica. Questa simbiosi genera sistemi criminali modulabili, globali e adattivi, con catene di approvvigionamento completamente digitalizzate. Il controllo dei territori non scompare, ma si trasforma: si va verso una “territorialità algoritmica”, fatta di piattaforme, reti anonime e mercati digitali controllati.

Ma di fronte a questa minaccia, quali sono le principali risposte istituzionali e governative?

Strumenti europei di contrasto: cooperazione frammentata contro minacce integrate

L’evoluzione del crimine organizzato verso forme sempre più digitalizzate e transnazionali ha posto sotto pressione le infrastrutture europee di cooperazione giudiziaria e investigativa. Sebbene l’Unione europea disponga di una serie di strumenti formalmente avanzati, la loro efficacia nel contrastare la convergenza tra criminalità organizzata e cybercrime risulta spesso limitata da frammentazioni operative, differenze normative e assenza di poteri coercitivi comuni. Di fronte a questa crescente minaccia la risposta dell’UE appare, purtroppo, ancora frammentata. 

Un primo pilastro del sistema europeo è rappresentato da Eurojust, l’agenzia incaricata di facilitare la cooperazione giudiziaria tra gli Stati membri. Eurojust si è dimostrata efficace nell’attivazione di squadre investigative comuni (Joint Investigation Teams) e nel coordinamento multilaterale di mandati d’arresto e operazioni complesse. Tuttavia, la sua capacità di intervento sul fronte del cybercrime è ancora debole, soprattutto in relazione a fenomeni emergenti come il ransomware, l’utilizzo dell’IA da parte delle mafie e il traffico di identità digitali. 

Un secondo meccanismo chiave è EMPACT (European Multidisciplinary Platform Against Criminal Threats), piattaforma strategica che definisce ogni due anni le priorità europee contro le minacce criminali, tra cui il crimine organizzato e quello informatico. Il suo approccio multidisciplinare, che combina analisi di intelligence, piani operativi e capacità tecniche, rappresenta un esempio positivo di governance integrata. Tuttavia, EMPACT non dispone di strumenti vincolanti né di poteri esecutivi, risultando quindi dipendente dalla cooperazione volontaria degli Stati membri e dalla disponibilità di risorse tecniche e umane su base nazionale. 

Un terzo strumento cruciale è la Joint Cybercrime Action Taskforce (J-CAT), ospitata presso Europol. J-CAT opera come task force investigativa permanente, composta da ufficiali di polizia specializzati provenienti da diversi Paesi europei, con l’obiettivo di facilitare operazioni congiunte contro reti cybercriminali. La task force ha ottenuto risultati concreti, come lo smantellamento di marketplace del dark web e gruppi ransomware. Tuttavia, la sua capacità di intervento autonomo è ancora limitata: J-CAT agisce come facilitatore e catalizzatore ed è vincolata alle azioni delle autorità nazionali, spesso disallineate nei tempi e nelle priorità.

Sul piano normativo, invece, la recente Direttiva NIS2 (in vigore dal 2023) rappresenta un progresso rilevante nel rafforzare la resilienza cibernetica dell’Unione. Essa impone obblighi più stringenti in materia di sicurezza delle infrastrutture critiche, segnalazione degli incidenti e auditing nei settori chiave, ampliando il perimetro rispetto alla precedente NIS. Tuttavia, la direttiva rimane centrata sulla prevenzione tecnica e sulla compliance aziendale, senza affrontare direttamente la questione della convergenza tra reti mafiose e cybercrime né prevedere meccanismi investigativi transfrontalieri più incisivi.

Due sono gli aspetti più critici. Da un lato, l’interoperabilità: le forze di polizia e le procure europee spesso non condividono dati in tempo reale, impedendo una risposta coordinata. La creazione di una rete di task force europee su crimine tech-enabled resta più una dichiarazione d’intenti che una realtà operativa. Dall’altro, vi sono dilemmi etici e giuridici. L’uso di IA nelle indagini penali solleva interrogativi sulla trasparenza algoritmica, sulla validità probatoria di evidenze digitali generate da software e sulla protezione dei diritti fondamentali (es. bias nella profilazione predittiva). Il rischio di una “sorveglianza criminale” da parte dello Stato, tramite strumenti opachi, è un rischio da considerare attentamente, soprattutto alla luce del principio di proporzionalità e legalità sancito dalla Corte di giustizia dell’UE.

A livello geopolitico, il rischio più ampio riguarda, invece, l’intersezione tra criminalità organizzata, attori statali ostili e zone grigie dell’intelligence. Le mafie digitali possono diventare strumenti indiretti di potenze ostili, che utilizzano il cybercrime per destabilizzare democrazie europee, colpire infrastrutture critiche o finanziare operazioni ibride. La Russia, ad esempio, è stata più volte indicata come hub tollerante verso gruppi hacker legati a crimini economici, a patto che non colpiscano obiettivi nazionali. In tale contesto la criminalità organizzata non è più un attore esclusivamente economico, ma parte integrante di un ecosistema geopolitico più ampio.

Scenari futuri: verso una criminalità predittiva?

L’integrazione tra IA, criminalità organizzata e cybercrime segna un punto di svolta sistemico nel panorama della sicurezza europea. Non si tratta soltanto di un aggiornamento tecnologico delle reti criminali tradizionali, ma della nascita di un ecosistema ibrido, adattivo e scalabile, in cui le logiche del crimine organizzato si fondono con l’agilità del cybercrime, potenziate da strumenti algoritmici in grado di anticipare, mimetizzare e ottimizzare l’attività criminale.

Nel contesto geopolitico attuale tre sono le dinamiche che potrebbero accelerare o aggravare questa traiettoria: l’aumento delle aree grigie digitali, dove regolamentazione debole, sovranità limitata e transazioni in criptovalute creano ambienti ideali per il crimine tech-driven; la corsa globale all’IA generativa, in cui la mancanza di controlli condivisi apre la strada a un uso criminale diffuso di modelli open source, difficilmente tracciabili; l’asimmetria tra innovazione privata e capacità di enforcement pubblica, per cui le organizzazioni criminali, spesso più liquide e flessibili, sono in grado di adottare tecnologie avanzate più rapidamente delle agenzie di sicurezza statali, con un notevole vantaggio operativo.

Ciò che si profila all’orizzonte è un modello di criminalità predittiva, dove le organizzazioni illecite impiegano l’IA non solo per operare più rapidamente o con maggiore efficacia, ma per simulare scenari, analizzare dati geopolitici, anticipare interventi normativi e addirittura prevedere comportamenti delle forze dell’ordine e delle istituzioni finanziarie. Si tratta di un passaggio qualitativo che richiede una trasformazione altrettanto profonda delle strategie di contrasto: la logica del “follow the money” deve evolversi in una logica di “follow the pattern”, capace di identificare segnali deboli e configurazioni emergenti attraverso analisi algoritmiche multilivello.

Per rispondere efficacemente a queste sfide, è indispensabile ripensare la governance della sicurezza digitale in ottica sistemica. Questo significa potenziare la cooperazione giudiziaria e investigativa in tempo reale, dotando Europol, Eurojust e le Unità di informazione finanziaria europee di capacità algoritmiche autonome e interoperabili; integrare strumenti di intelligence artificiale etica anche nei processi di auditing, procurement e controllo delle filiere ad alto rischio di infiltrazione criminale; promuovere una strategia geopolitica europea sull’IA e sulla criminalità organizzata, in grado di agire su scala internazionale, sostenendo coalizioni multilaterali contro la “algocrazia criminale” emergente.