Bella l’Ai, un mondo tutto da scoprire, in cui è possibile trovare validi strumenti di supporto operativo, informazioni in tempi ridotti e modi divertenti per passare in tempo, ma come sempre, non è tutto oro quel che luccica, così, se da una parte le tecnologie stanno rivoluzionando in modo in cui si apprende e si interagisce, dall’altro stanno dado una spinta propulsiva alle modalità con cui vengono perpetrate le truffe ai danni di privati e aziende.
Un esempio tra i più attuali è rappresentato dai deepfake, che sfruttando video, audio e testi manipolati, sono in grado di ingannare anche i professionisti più esperti.
Il termine "deepfake" nasce dalla fusione di "deep learning" e "fake" e fa riferimento a contenuti multimediali creati o alterati tramite algoritmi di apprendimento profondo. Si tratta di tecniche che permettono di generare video, immagini o audio in cui una persona sembra dire o fare qualcosa che in realtà non ha mai detto o fatto. Utilizzando reti neurali avanzate, come le Generative Adversarial Networks, è possibile creare contenuti estremamente realistici, difficili da distinguere dalla realtà e più passa il tempo, più il sistema apprende e si specializza.
Tradizionalmente, le truffe aziendali si basavano su mail di phishing o telefonate fraudolente, ma oggi, con l’ausilio dei deepfake, i truffatori possono simulare videochiamate con dirigenti aziendali, inviare messaggi vocali clonati o email apparentemente autentiche con l’ausilio di sintetizzatori vocali avanzati che clonano le voci di dirigenti aziendali, creando messaggi vocali e telefonate che sembrano autentici. Con pochi secondi di audio, spesso reperiti sui social o in conferenze pubbliche, è possibile generare una voce sintetica quasi perfetta.
Queste tecniche sono state utilizzate in truffe che hanno portato a perdite significative per le aziende, evidenziando non poche falle nella sicurezza.
Lo scorso febbraio alcuni imprenditori italiani, tra cui Massimo Moratti e Giorgio Armani, sono stati vittime di una truffa in cui la voce del Ministro della Difesa, Guido Crosetto, è stata clonata per richiedere fondi destinati al presunto riscatto di giornalisti rapiti all’estero. Le vittime, convinte della legittimità della richiesta, hanno effettuato bonifici per migliaia di euro.
Nel gennaio 2024, un impiegato di una multinazionale con sede a Hong Kong è stato vittima di una truffa che ha portato al trasferimento non autorizzato di 25,6 milioni di dollari. Il dipendente ha ricevuto una mail apparentemente proveniente dal CFO dell’azienda, in chi si richiedeva una transazione riservata. Sospettando un tentativo di phishing, l’impiegato ha partecipato a una videochiamata con il presunto CFO e altri colleghi. Durante la call, tutti i partecipanti sembravano autentici, ma in realtà erano deepfake creati utilizzando l’AI e varie informazioni disponibili on line. Convinto della legittimità della richiesta, l’impiegato ha effettuato 15 trasferimenti bancari per un totale di 200 milioni di dollari di Hong Kong. La truffa è stata scoperta solo quando l’impiegato ha contattato la sede centrale per confermare la transazione.
La facilità con cui queste frodi si sono concluse, solleva non poche preoccupazioni e dimostra che non solo le tradizionali misure di autenticazione non sono sufficienti, ma che è sempre più importante formare i dipendenti per riconoscere segnali di allarme e seguire protocolli di verifica rigorosi, magari anche attraverso un investimento in nuove strumentazioni che permettano di identificare eventuali contenuti manipolati.
A titolo informativo, in Italia, chi realizza o diffonde deepfake con finalità di truffa, diffamazione o violazione della privacy rischia l’accusa di sostituzione di persona (art. 494 cp), truffa aggravata (art. 640 cp) e violazione del GDPR nel caso di trattamento illecito di dati biometrici.
Alcuni stati americani come la California e il Texas hanno approvato normative specifiche contro l’uso fraudolento di deepfake, mentre il Regolamento europeo sull’AI, approvato nel 2024, impone l’obbligo di dichiarare esplicitamente ogni contenuto generato da intelligenze artificiali.
Rintracciare i responsabili, tuttavia, è complesso perché la maggior parte di queste operazioni proviene da reti criminali internazionali che sfruttano server anonimi, VPN e criptovalute localizzate in Asia, Russia, Europa dell’Est e Nord Africa, come confermano i report Europol IOCTA 2024 e FBI IC3. L’uso di piattaforme nel dark web permette a chiunque, anche con modeste risorse economiche, di commissionare video o audio manipolati, abbassando drasticamente la soglia tecnica di accesso a questi strumenti.
Eppure, nonostante la crescente sofisticazione dei deepfake, esistono ancora indicatori che permettono di individuarli. Nel caso dei video, le micro-espressioni in genere sono assenti, i movimenti oculari innaturali e ci sono incongruenze tra luce e ombre che possono destare sospetti; negli audio, la voce risulta leggermente piatta, i fonemi sono distorti e le risposte sempre vaghe. Per supportare le aziende nella lotta contro questo tipo di minacce, si stanno diffondendo strumenti di rilevamento automatico, tra cui Microsoft Video Authenticator, Deepware Scanner.
Tuttavia, la miglior difesa resta un approccio misto fatto di formazione, protocolli di verifica a più livelli e tecnologie di rilevamento. Perché dietro la rassicurante familiarità di una videochiamata o di una voce nota, può sempre nascondersi il volto di un criminale digitale.
