Deepfake e frodi vocali: come le PMI italiane diventano bersaglio
Le frodi con voce e video sintetici non sono più fantascienza: colpiscono aziende reali, spesso PMI con meno difese. Come funzionano questi attacchi, quali sono i segnali e cosa si può fare per non cadere nella trappola.
Redazione
Consulenza Digitale Italia
Un dipendente di un'azienda di Hong Kong ha autorizzato un bonifico da 25 milioni di dollari a seguito di una video call con quello che sembrava essere il CFO e altri dirigenti dell'azienda. Erano tutti deepfake. La truffa è riuscita perché il dipendente non aveva procedure di verifica alternative.
Non è un caso isolato. E non riguarda solo le grandi aziende.
Cosa sono le frodi basate su AI sintetica
Il termine deepfake, ormai nel linguaggio comune, indica contenuti video o audio generati artificialmente che imitano persone reali. Per anni è rimasto confinato a un problema di disinformazione politica. Nelle aziende è diventato uno strumento di frode concreta.
La versione più diffusa in ambito aziendale è il vishing AI: una telefonata in cui la voce del presunto interlocutore è sintetica, clonata da campioni audio reali. Il dipendente riceve una chiamata che suona esattamente come la voce del suo responsabile, o del CEO, e riceve istruzioni urgenti per eseguire un'operazione: un bonifico, la condivisione di credenziali, il download di un file.
La versione video è tecnicamente più complessa ma già in circolazione. Video call su Teams o Zoom con figure generate in tempo reale, convincenti quanto basta per superare i sospetti iniziali di un dipendente che non si aspetta di essere truffato.
Perché le PMI sono bersagli particolarmente esposti
Le grandi aziende hanno team di sicurezza dedicati, procedure di verifica multi-livello, formazione continua sul social engineering. Molte PMI no.
In un'azienda da 15 persone, la contabilità è spesso affidata a una o due persone che conoscono personalmente il titolare e non hanno mai avuto motivo di dubitare di una sua chiamata urgente. Quando quella voce telefona con tono pressante dicendo che c'è un'operazione urgente da fare adesso, la risposta naturale è fiducia.
I truffatori lo sanno. E selezionano le vittime di conseguenza.
C'è anche un problema di raccolta del materiale audio. Il CEO di una PMI che fa video su LinkedIn, che partecipa a webinar, che ha interviste su Youtube: ha già fornito minuti abbondanti di audio al potenziale truffatore. Basta qualche minuto per addestrare un modello di clonazione vocale sufficientemente convincente.
Come si svolge l'attacco tipico
Lo schema più comune segue un pattern riconoscibile.
Prima c'è la raccolta di informazioni. I truffatori cercano online la struttura dell'azienda: nomi, ruoli, relazioni gerarchiche. LinkedIn è una miniera. Cercano materiale audio e video delle figure chiave.
Poi identificano la persona vulnerabile: non il CEO, ma chi esegue le istruzioni del CEO. Il responsabile amministrativo, il commercialista esterno, il responsabile IT.
La chiamata arriva in un momento di pressione: fine giornata, ora di pranzo, venerdì pomeriggio. La voce sintetica introduce un'urgenza: un pagamento che deve uscire oggi, credenziali da condividere per risolvere un problema tecnico critico, un documento da inviare immediatamente in modo riservato.
L'urgenza e la richiesta di segretezza sono le due leve principali. Entrambe servono a impedire che il dipendente verifichi attraverso i canali normali.
I segnali che dovrebbero far scattare un campanello
Alcune caratteristiche degli attacchi sono riconoscibili a posteriori, e si possono imparare a riconoscere a priori.
Urgenza improvvisa su un'operazione che non seguiva la normale procedura. Il CEO non chiama mai direttamente per ordinare bonifici: c'è sempre un processo. Quando la richiesta bypassa quel processo, qualcosa non va.
Richiesta di segretezza o di non coinvolgere altri colleghi. Una legittima operazione aziendale urgente non richiede che nessuno sappia.
Richiesta arrivata su un canale insolito: una telefonata invece di un'email, un messaggio WhatsApp invece di Teams, un numero che non è in rubrica.
Piccole anomalie nella voce: pause leggermente meccaniche, assenza dei rumori di fondo abituali, qualcosa che non si riesce a definire ma che suona leggermente diverso.
Cosa può fare una PMI concretamente
Le misure di difesa non richiedono investimenti grandi. Richiedono procedure e formazione.
La più efficace è quella del codice di verifica fuori banda. Si definisce con il team un breve codice verbale da usare per confermare richieste urgenti insolite. Se il CEO chiama per un'operazione urgente fuori procedura, il dipendente chiede la parola d'ordine. Se la voce non la sa, non esegue.
La seconda misura è semplice: nessun bonifico viene eseguito solo su istruzione telefonica, mai. Se un'operazione finanziaria arriva via telefono, richiede obbligatoriamente una conferma via email aziendale o via sistema di approvazione formale.
La terza è la formazione. Non serve un corso di cybersecurity lungo e costoso. Serve che ogni persona che gestisce denaro o accessi sappia che queste frodi esistono, come funzionano, e che è assolutamente normale e corretto verificare prima di eseguire.
Per i dirigenti e titolari: limitare la quantità di audio e video pubblicamente accessibili è difficile e non sempre desiderabile. Ma sapere che quel materiale esiste e potrebbe essere usato è già un primo passo.
L'aspetto tecnico che conta
Sul versante tecnologico, alcune aziende stanno adottando sistemi di verifica dell'autenticità delle comunicazioni: watermarking dei contenuti audio/video, strumenti di rilevamento automatico dei deepfake, autenticazione forte per i canali di comunicazione interna.
Per le PMI, la barriera tecnologica adeguata è più semplice: assicurarsi che le comunicazioni interne avvengano su piattaforme sicure con autenticazione multi-fattore, e che non ci siano canali di autorizzazione che passano solo per una telefonata.
La sicurezza informatica complessiva di un'azienda, inclusa la protezione dai vettori di attacco basati su social engineering avanzato, fa parte di un approccio strutturato alla architettura tecnologica che considera le persone tanto quanto i sistemi.
Il cambio di mentalità necessario
Il problema profondo non è tecnologico. È culturale: l'abitudine a fidarsi della voce di qualcuno come prova di identità. Per decenni ha funzionato. Oggi non funziona più.
Le procedure di verifica non sono una mancanza di fiducia verso i colleghi: sono protezione reciproca. Un dipendente che verifica prima di eseguire non sta dubitando del suo capo. Sta applicando una procedura che protegge l'azienda e protegge anche lui da manipolazioni esterne.
Far capire questa distinzione al team è più importante di qualsiasi strumento tecnico.
Leggi anche:
Tag
Domande Frequenti
Come fanno i truffatori a clonare la voce di un dirigente?
Bastano pochi minuti di audio registrato da video pubblici, interviste, podcast o riunioni Teams/Zoom non protette. Gli strumenti di clonazione vocale AI sono accessibili e poco costosi. Con quel campione audio si genera una voce sintetica convincente, usata poi in telefonate verso dipendenti, fornitori o banche.
Come può difendersi una PMI dai deepfake voice?
Le misure principali sono: istituire un codice verbale di verifica per richieste urgenti fuori canale ordinario, non eseguire mai bonifici o trasferimenti solo su istruzione telefonica, e formare i dipendenti a riconoscere i pattern tipici delle frodi (urgenza artificiale, richieste di segretezza, pressione a bypassare le procedure).
Il deepfake video è già usato per truffare le aziende?
Sì, con frequenza crescente. Il caso più documentato è quello delle video call con finti dirigenti o finti partner commerciali, usate per convincere un responsabile finanziario ad autorizzare un pagamento. Questi attacchi richiedono più preparazione dei semplici vishing, ma i casi confermati sono già numerosi nel mondo occidentale.
Approfondisci
Esplora tutti gli articoli dell'archivio su digitalizzazione e AI per le PMI.