I tempi delle e-mail di phishing piene di errori evidenti e dei tentativi di frode grossolani sono passati per sempre. Il 2026 si sta rivelando un vero spartiacque, con l’intelligenza artificiale (IA) che ha trasformato la criminalità informatica da laboriosa attività manuale in un settore fortemente automatizzato e scalabile a livello globale.
Un tempo c’erano i singoli criminali con il loro raggio d’azione limitato, oggi ci sono reti organizzate dotate di strumenti IA specializzati, strategie basate sui dati e scalabilità pressoché infinita. Per chi usa i sistemi di e-banking e i servizi finanziari digitali la conseguenza è una sola: vengono a mancare i tradizionali campanelli d’allarme rappresentati da errori di ortografia, appellativi impersonali o mittenti strani.
Mentre gli istituti finanziari migliorano continuamente i loro sistemi di protezione sul piano tecnico, i malintenzionati spostano la loro attenzione sull’anello più debole della catena: le persone. L’IA funge da amplificatore, strumento di precisione e genio dell’inganno, tutto in uno.
Deepfake e Voice Cloning: mirino puntato sull’identità
Probabilmente lo sviluppo più pericoloso è il cosiddetto deepfake – la capacità di imitare voci e video con livelli di autenticità davvero ingannevoli. Mentre in passato serviva parecchio materiale audio, oggi bastano pochi secondi di video sui social media o messaggi vocali per creare un gemello digitale convincente.
- La «truffa del capo» (truffa del CEO) 2.0:
Nel corso di una videoconferenza apparentemente legittima, un «amministratore delegato» chiede che venga effettuato un trasferimento di denaro urgente. Voce, viso e comportamento sono corretti, solo che in quel momento la persona in questione non sta partecipando alla videoconferenza. - La telefonata choc:
Le vittime ricevono una telefonata da un presunto familiare in difficoltà. L’IA non solo simula la voce, ma crea uno scenario acustico completo che include condizioni di stress, emozioni e ambiente.
Personalizzazione di massa tramite gli LLM
Un Large Language Model (LLM) è un sistema IA che è stato addestrato con quantità di dati enormi per apprendere modelli statistici del linguaggio umano allo scopo di generare autonomamente testi dotati di una loro logica e risolvere compiti. Tra questi sistemi vi sono ChatGPT, Gemini e Claude. Gli LLM aprono la strada a livelli qualitativi del tutto nuovi per le truffe, che si caratterizzano per personalizzazione, sensibilità al contesto e funzionamento in tempo reale. Invece di impiegare e-mail di massa generiche, gli aggressori utilizzano l’IA per creare scenari che sembrano autentici e altamente personalizzati. I sistemi analizzano informazioni pubblicamente accessibili come i profili dei social media, i siti Internet aziendali o i comunicati stampa e li abbinano a storie credibili. Ne derivano ad esempio richieste di pagamento o riferimenti a progetti che esistono realmente e quindi suscitano pochi sospetti.
Inoltre, le barriere linguistiche sono praticamente scomparse. L’IA moderna è in grado non solo di tradurre correttamente i contenuti, ma anche di adattarli culturalmente e linguisticamente. I truffatori si presentano quindi con un italiano della Crusca, con il dialetto regionale del Ticino o qualsiasi altra variante linguistica, sembrando così molto più autentici di prima.
Un’altra differenza fondamentale è l’interattività: mentre le classiche e-mail di phishing erano statiche per loro natura, i sistemi IA rispondono alle domande in modo dinamico. Portano avanti dialoghi convincenti, offrono spiegazioni plausibili, rispondono alle obiezioni e adattano il loro ragionamento alle reazioni della vittima in tempo reale. Ciò crea una forma di comunicazione che è quasi indistinguibile dalle vere interazioni umane e aumenta notevolmente il rischio che l’inganno vada a buon fine.
Automazione e scalabilità: la truffa come modello di business
Una differenza centrale rispetto al passato è l’industrializzazione del settore:
- Crime-as-a-Service:
Sulla darknet i criminali offrono strumenti IA pronti all’uso, servizi di deepfake o campagne fraudolente complete, con tanto di servizio di assistenza e aggiornamenti. - Test A/B applicati alle frodi:
Gli attacchi vengono ottimizzati come le campagne di marketing. Si testano diverse varianti, si analizzano le percentuali di successo e si adeguano continuamente le strategie. - Modelli operativi 24/7:
I sistemi IA sono in funzione 24 ore su 24, 7 giorni su 7, senza pause o affaticamento, aumentando drasticamente l’efficienza.
La trappola psicologica: il social engineering condotto alla perfezione
Malgrado tutti i progressi tecnologici, il nocciolo dei tentativi di truffa resta invariato: la manipolazione mirata del comportamento umano. L’IA rafforza le leve psicologiche note e le sfrutta con molta più precisione che mai in passato. È particolarmente frequente la creazione di un senso di urgenza, che spinge le vittime a pensare di dover agire immediatamente per evitare un danno. Allo stesso tempo si finge l’esistenza di un’autorità, ad esempio minacciando di informare un superiore gerarchico, la banca o un’autorità pubblica, e questi richiami non vengono quasi mai messi in discussione. Si impiega in modo mirato anche il principio della scarsità, lasciando intendere che l’opportunità offerta è unica o va colta entro brevissimo tempo. A ciò si aggiunge la costruzione della fiducia, ad esempio attraverso l’immedesimazione in personaggi famosi o fingendo lo sviluppo di relazioni personali.
Possibili strategie per proteggersi
Le soluzioni tecniche da sole non sono sufficienti. Il fattore decisivo è acuire il «firewall umano», ovvero puntare sull’attenzione alla sicurezza del singolo individuo. L’IA può essere utilizzata anche per il rilevamento delle truffe, ma le metodologie non sono ancora affidabili.
- L’autenticazione a due fattori (2FA), la protezione biometrica e le conferme delle transazioni offrono importanti livelli di protezione e se ne raccomanda l’attivazione.
- Se si riceve una richiesta di pagamento insolita, utilizzare sempre un secondo canale. Effettuare una richiamata usando esclusivamente numeri noti o mezzi di comunicazione alternativi.
- La pressione determinata dai tempi stretti è un classico strumento di manipolazione. Istituzioni serie non fissano scadenze irrealistiche.
- In caso di incertezza, applicare il principio del controllo incrociato.
- Ridurre la quantità di dati personali disponibili pubblicamente (sui social media) aiuta a limitare significativamente i punti deboli.
