Truffe online 4.0: come l’AI sta rivoluzionando l’inganno
Le truffe online AI-based rappresentano una sfida. Paradossalmente, la stessa Intelligenza Artificiale può diventare un alleato per rilevare comportamenti anomali e neutralizzare minacce.
L’avvocato Valerio Vertua, partner di 42 Law Firm, mette in evidenza i meccanismi che stanno trasformando “l’arte delle truffe online”, grazie anche all’intelligenza artificiale.
Nel panorama digitale contemporaneo, le truffe digitali hanno raggiunto livelli di sofisticazione senza precedenti grazie all’adozione sempre più diffusa dell’Intelligenza Artificiale (AI) da parte dei criminali. Le cosiddette “truffe AI-based” si basano su raggiri perpetrati sfruttando strumenti e tecniche di AI che consentono di creare contenuti, messaggi, voci e persino video falsi, spesso indistinguibili dalla realtà. Questi attacchi vanno oltre il phishing tradizionale via email. Oggi le frodi possono avvenire attraverso molteplici canali: social media, SMS, messaggistica istantanea, telefonate (anche tramite deepfake vocali), piattaforme di collaborazione (come Teams o Zoom), fino a chatbot o assistenti virtuali compromessi. L’obiettivo rimane invariato rispetto alle truffe tradizionali: sottrarre dati personali, credenziali bancarie, denaro o informazioni riservate, ma come metodi incredibilmente più sofisticati ed efficaci.
I criminali informatici sfruttano, infatti, la capacità dell’AI di analizzare grandi moli di dati pubblicamente disponibili per profilare accuratamente le vittime, adattando ogni attacco allo specifico bersaglio (c.d. spear phishing). L’uso poi di tecniche quali il deepfake – ovvero la manipolazione audio o video in tempo reale – rende questi attacchi particolarmente insidiosi, in quanto la vittima può essere facilmente convinta di parlare con un proprio familiare, collega o referente bancario.
L’intelligenza artificiale ha proprio rivoluzionato il modo in cui vengono costruite le truffe digitali sotto diversi punti di vista:
Personalizzazione avanzata: I criminali utilizzano algoritmi di machine learning per analizzare enormi quantità di dati pubblici, costruendo profili dettagliati delle vittime. Ogni messaggio viene calibrato su informazioni specifiche del destinatario, rendendo l’inganno estremamente credibile.
Deepfake audio e video: Attraverso reti neurali (GAN – Generative Adversarial Network) e modelli di sintesi vocale, oggi è possibile clonare voci o creare video in cui una persona sembra interagire dal vivo (si pensi ai casi in cui su WhatsApp o Teams si riceve una chiamata che sembra provenire da un collega o superiore).
Automazione e scalabilità: I sistemi AI sono in grado di generare in modo automatico milioni di email di phishing o messaggi fraudolenti, ciascuno leggermente diverso e adattato al destinatario.
Elusione dei controlli tradizionali: Tecniche di offuscamento automatizzate permettono a questi attacchi di superare filtri antispam, antivirus tradizionali e sistemi di rilevamento frodi, rendendoli praticamente invisibili alle difese convenzionali.
Questi strumenti sono utilizzati sia per attacchi “retail” contro singole persone (furto d’identità, truffe sentimentali, finti incidenti con richieste di denaro urgenti) sia per attacchi “corporate”, come la Business Email Compromise (BEC) e la CEO Fraud, dove i criminali simulano dirigenti aziendali richiedendo bonifici urgenti verso conti esteri, spesso durante periodi di assenza del vero CEO.
Particolarmente allarmante è l’evoluzione dei deepfake attraverso applicazioni in tempo reale. Non parliamo più di video preregistrati e manipolati, ma di sistemi capaci di alterare volti e voci durante videochiamate effettive.
La tecnologia ha raggiunto un livello tale che distinguere il vero dal falso diventa estremamente difficile anche per occhi esperti. Nonostante la sofisticazione crescente, alcuni indicatori possono ancora aiutarci a identificare i tentativi di inganno:
Senso d’urgenza: La richiesta di agire rapidamente (“Devi pagare subito”, “Rispondi ora o ci saranno conseguenze legali”) è quasi sempre un segnale sospetto.
Errori o incongruenze: Anche se l’AI riduce gli errori grammaticali rispetto al passato, spesso restano dettagli incoerenti su numeri di telefono, indirizzi email (ad esempio domini leggermente diversi da quelli ufficiali), oppure offerte troppo vantaggiose.
Richiesta di dati sensibili o credenziali: Nessuna banca o istituzione seria chiede mai via telefono o email password, codici temporanei o PIN.
Comunicazioni multicanale sospette: Se una richiesta arriva contemporaneamente via email, telefono e social media, è opportuno aumentare la soglia d’attenzione.
Assenza della videocamera (o video “strani”): In colloqui online può essere richiesto di accendere la videocamera; deepfake evoluti possono simulare questa presenza ma spesso evitano interazioni troppo dinamiche o cambiano argomento se richiesti gesti specifici.
Sebbene non esista una ricetta infallibile, alcune buone pratiche possono ridurre significativamente il rischio:
Verifica su più canali: In caso di dubbi su una richiesta ricevuta via email/telefono/videochiamata, contattare direttamente la persona o l’ente tramite un canale ufficiale alternativo.
Autenticazione a due fattori (2FA): Sempre attivare la doppia autenticazione per servizi sensibili.
Aggiornamento costante dei dispositivi e software: Patch di sicurezza aggiornate riducono il rischio che malware AI-based compromettano i sistemi.
Formazione continua: La consapevolezza degli utenti rimane uno degli strumenti più efficaci contro le truffe digitali. Sia in ambito domestico, sia lavorativo è importante aggiornarsi sulle nuove minacce e sulle best practice di cybersicurezza.
Strumenti anti-deepfake: Startup specializzate stanno sviluppando soluzioni per l’analisi forense dei contenuti multimediali; sebbene non siano ancora alla portata del grande pubblico, diventeranno sempre più rilevanti nei prossimi anni.
Politiche aziendali chiare: Le organizzazioni dovrebbero stabilire procedure rigorose per la gestione delle richieste finanziarie urgenti e sensibilizzare i dipendenti sulle nuove minacce.
Truffe online sempre più credibili e complesse da smascherare
A livello sistemico, uno dei principali problemi nella lotta alle truffe AI-driven è il carattere transnazionale dei criminali informatici. Spesso i responsabili operano da Paesi esteri dove la giurisdizione italiana o europea non arriva facilmente, rendendo più complicata la repressione penale tradizionale. La natura transnazionale delle cybertruffe impone quindi un approccio globale al contrasto. In Europa, il recente pacchetto normativo PSD3 mira a rafforzare l’autenticazione dei pagamenti e la verifica dell’identità nei trasferimenti bancari. Inoltre, iniziative come la condivisione delle informazioni sulle frodi tra provider di servizi finanziari e programmi UE di sensibilizzazione puntano a creare un ecosistema più sicuro. Tuttavia, la rapidità con cui si evolvono le tecnologie AI impone uno sforzo continuo da parte delle istituzioni nazionali ed europee per aggiornare le normative e favorire lo scambio internazionale di dati sulle minacce emergenti.
In conclusione, si ritiene che le truffe online AI-based rappresentino una sfida senza precedenti per la sicurezza digitale. Paradossalmente, però, la stessa Intelligenza Artificiale che alimenta queste minacce può diventare un alleato prezioso per rilevare comportamenti anomali e neutralizzare minacce in tempo reale. La cybersicurezza non può più essere appannaggio esclusivo degli specialisti, ma una responsabilità condivisa che coinvolge cittadini, aziende e istituzioni. Solo attraverso una formazione costante, un aggiornamento tecnologico ed una cooperazione internazionale si potrà preservare la fiducia nel digitale e costruire un ecosistema online più sicuro per tutti. Il futuro della sicurezza digitale si gioca, oggi, nella capacità di adattarsi e rispondere alle nuove frontiere dell’inganno con strumenti altrettanto avanzati e, soprattutto, con una consapevolezza diffusa dei rischi e delle opportunità che la tecnologia ci offre.
