Op 28 april 2026 heeft Europol de Internet Organised Crime Threat Assessment (IOCTA) 2026 gepubliceerd, met als ondertitel ‘How encryption, proxies and AI are expanding cybercrime’. Het rapport is de jaarlijkse strategische analyse van het Europees Cybercrime Centre (EC3) en biedt een geactualiseerd beeld van trends in ransomware, online fraude, witwassen via cryptocurrency en de criminele infrastructuur die deze fenomenen mogelijk maakt. Europol beschrijft 2025 als een jaar waarin cybercriminelen hun operaties verder versnelden en op grotere schaal automatiseerden, terwijl opsporingsdiensten te maken hebben met een groeiende ‘velocity gap’. Voor de financieel-economische strafrechtpraktijk zijn vooral de hoofdstukken over online fraudeschema’s, witwassen via cryptocurrency en ransomware-as-a-service relevant. Hieronder lopen we de belangrijkste bevindingen langs.

Online fraude als snelst groeiende vorm van georganiseerde misdaad

Europol bevestigt opnieuw dat online fraudeschema’s (OFS) het snelst groeiende segment van georganiseerde misdaad vormen. De meest gemelde typologieën zijn beleggingsfraude (in het bijzonder crypto-investeringsfraude), business email compromise (BEC), romance scams, tech support fraud en fraude tegen betalingssystemen. Volgens het rapport opereren de daders steeds meer als geïndustrialiseerde, transnationale netwerken, waarbij stelselmatig gebruik wordt gemaakt van phishing, malicious advertising op zogeheten very large online platforms (VLOPs) en geavanceerde infrastructuur om slachtoffers op grote schaal en in de juiste taal te bereiken.

Een opvallende ontwikkeling betreft de inzet van SIM-boxen. Deze apparatuur, waarmee honderden tot duizenden SIM-kaarten gelijktijdig kunnen worden ingezet voor stemverkeer en sms, wordt op industriële schaal gebruikt voor phishingcampagnes en het bulksgewijs aanmaken van frauduleuze accounts. Een door Europol gecoördineerde actie in oktober 2025 leidde tot de aanhouding van zeven Letse verdachten die een SIM-farm beheerden met circa 1.200 SIM-boxen en 40.000 SIM-kaarten, gekoppeld aan telefoonnummers uit meer dan 80 landen. Op basis van de illegale dienst werden naar verluidt ruim 49 miljoen online accounts aangemaakt, gebruikt voor onder meer fraude, afpersing en mensensmokkel.

Daarnaast wijst de IOCTA 2026 op de opkomst van IMSI-catchers en SMS-blasters, waarmee daders mobiel verkeer onderscheppen of berichten via vervalste celtorens versturen, en op het toenemende misbruik van zogeheten neo-banks. Het snelle onboardingmodel van deze digitale banken zet KYC-procedures onder druk, doordat fraudeurs in hoog tempo nieuwe rekeningen kunnen openen.

AI als versneller: van generatief naar agentic

Een rode draad in het rapport is de invloed van kunstmatige intelligentie. Generatieve AI wordt door criminele netwerken gebruikt om social engineering te personaliseren, BEC-fraude en CEO-fraude realistischer te maken en gespreksscripts voor callcenters te genereren. Voice chatbots worden ingezet om slachtoffers op industriële schaal voor te selecteren, voordat een menselijke fraudeur het gesprek overneemt. Op de dark web circuleren bovendien aangepaste of ‘jailbroken’ large language models, waarvan de ethische filters zijn verwijderd.

Europol signaleert daarnaast de eerste tekenen van agentic AI in criminele workflows: systemen die zelfstandig delen van het criminele proces kunnen plannen en uitvoeren. Volgens het rapport zal deze ontwikkeling, indien zij doorzet, het dreigingsniveau van OFS naar ‘ongekende hoogte’ tillen, doordat menselijke arbeid wordt vervangen door autonome digitale werkprocessen.

Cryptocurrency, mixers en witwassen

In het hoofdstuk over financiële facilitators bevestigt Europol dat cryptocurrency het voorkeursbetaalmiddel blijft bij ransomwareaanvallen en bij transacties op dark web-marktplaatsen. Het rapport beschrijft een toename van het gebruik van privacy coins en van off-shore exchanges in jurisdicties met soepele anti-witwasregels. Daarnaast wint chain-hopping via blockchain bridges aan populariteit als witwasmethode, evenals decentralised exchanges (DEX’en) en zogeheten mixer-as-a-service-constructies, die buiten de reguliere KYC- en AML-kaders opereren.

Het rapport plaatst deze trends nadrukkelijk tegen de achtergrond van recente operationele successen. Op 1 december 2025 maakten Europol en Eurojust de ontmanteling bekend van Cryptomixer, een hybride mengdienst die sinds 2016 zou hebben gefaciliteerd dat meer dan 1,3 miljard euro aan Bitcoin werd witgewassen. Tijdens de actieweek van 24 tot 28 november 2025 in Zürich werden drie servers in beslag genomen, evenals het domein cryptomixer.io, ruim 12 terabyte aan data en cryptocurrency ter waarde van meer dan 25 miljoen euro. De dienst werd volgens Europol gebruikt door ransomwaregroepen, dark web-marktplaatsen, drugs- en wapenhandelaren en betaalkaartfraudeurs om de herkomst van middelen te verhullen.

Voor de bijzonder strafrechtpraktijk is daarnaast relevant dat Europol een sterke groei signaleert in de diefstal van digitale activa via zogeheten cryptocurrency drainers, gespecialiseerde malware die slachtoffers via phishing en social engineering verleidt om hun wallet te koppelen aan een kwaadaardig smart contract. Deze techniek heeft zich volgens het rapport ontwikkeld tot een volwaardig crime-as-a-service-model.

Ransomware: meer merken, kortere levensduur, andere afpersingstactiek

In 2025 observeerde Europol meer dan 120 actieve ransomwaremerken, met een nog altijd stijgend aantal aanvallen. Het ecosysteem is gefragmenteerd en instabiel: codebases worden gelekt, affiliates wisselen van platform en operators rebranden vaak na verstoringen. Naast bekende namen als Qilin, Akira, DragonForce, Cl0p en Play vormde LockBit 5.0, gelanceerd in september 2025, een nieuwe iteratie van een door eerdere wetshandhavingsacties verstoorde groep. In september 2025 kondigden DragonForce, LockBit en Qilin een nieuwe coalitie aan op de dark web.

Inhoudelijk verschuift de afpersingsdruk verder. Waar ransomware oorspronkelijk gericht was op het versleutelen van data om losgeld voor decryptie te innen, ligt de nadruk nu op het dreigen met publicatie van geëxfiltreerde data. Europol noemt aanvullende drukmiddelen als parallelle DDoS-aanvallen, het bestoken van zakelijke e-mailadressen met spam en het cold-callen van werknemers en bestuurders.

Tegelijkertijd waarschuwt het rapport dat de scheidslijn tussen criminele en ‘hybrid threat’ actoren vervaagt. Statelijke of staat-gelieerde actoren zetten in toenemende mate criminele netwerken in als proxy voor DDoS-aanvallen, intrusies, datadiefstal en ransomware, soms onder dwang, soms tegen een vorm van bescherming. In het crime-as-a-service-model zijn statelijke actoren feitelijk klanten als alle anderen, wat de juridische en operationele duiding van dergelijke incidenten compliceert.

Operationele successen en hun grenzen

De IOCTA 2026 plaatst de geschetste dreigingen tegen de achtergrond van een reeks omvangrijke operaties. Naast de Cryptomixer-actie noemt Europol onder meer de vervolgfase van Operation Endgame in november 2025, waarbij wereldwijd 1.025 servers werden ontmanteld of verstoord en de infrastructuur van de infostealer Rhadamanthys, de Remote Access Trojan VenomRAT en de Elysium-botnet werd geraakt. De hoofdverdachte achter VenomRAT werd op 3 november 2025 in Griekenland aangehouden. Verder verwijst het rapport naar de verstoring van het pro-Russische DDoS-netwerk NoName057(16) in juli 2025 en naar de ontmanteling van de dark web-marktplaats Archetyp Market in juni 2025, met een totale transactievolume van ten minste 250 miljoen euro.

Tegelijk wijst Europol op structurele beperkingen. Beperkte data-retentieregels bij digitale dienstverleners, ingewikkelde grensoverschrijdende rechtshulp, het wijdverbreide gebruik van end-to-end encryptie en de gelaagde anonimiseringstechnieken (bullet-proof hosting, residential proxies, VPN-chaining) leiden ertoe dat opsporingsdiensten vaak achter de feiten aanlopen. Een terugkerend thema is de roep om nauwere samenwerking met online service providers (OSPs) en om regelgevende kaders die rechtmatige toegang tot relevante data faciliteren, met inachtneming van grondrechten en gegevensbescherming.

Online seksueel kindermisbruik kort benoemd

Hoewel buiten de kern van het financieel-economisch strafrecht, besteedt het rapport een afzonderlijk hoofdstuk aan online seksuele uitbuiting van kinderen. Europol signaleert een verdere monetarisering van CSAM, een toename van AI-gegenereerd materiaal en sterke groei van seksuele afpersing met een financiële component. Voor de bijzonder strafrechtpraktijk is met name relevant dat ook hier crypto-betalingen, abonnementsmodellen en mixers een rol spelen, wat het onderzoek naar geldstromen verbindt met klassieke witwastypologieën.

Afsluiting

De IOCTA 2026 bevestigt het beeld dat het cybercrime-landschap zich in 2025 verder heeft verhard en versneld, met AI, encryptie en gelaagde anonimiseringsdiensten als drijvende krachten. Voor de financieel-economische strafrechtpraktijk zijn vooral de aanhoudende groei van online fraude, de verschuiving van versleutelings- naar lekafpersing in het ransomware-ecosysteem en de evolutie van witwasinfrastructuur via privacy coins, blockchain bridges en mixer-as-a-service-constructies van belang. De recente operaties tegen Cryptomixer, Rhadamanthys, VenomRAT en NoName057(16) laten zien dat een infrastructuurgerichte aanpak operationeel haalbaar is, maar Europol benadrukt zelf dat blijvende verstoring afhankelijk is van bredere regelgevende, technologische en publiek-private samenwerking. Het rapport biedt daarmee zowel een momentopname als een agenda voor de jaren die komen.