Un dirigente riceve una chiamata “dal suo capo”, voce inconfondibile, stesso tono, stessa autorità. L’ordine è chiaro e urgente: autorizzare una serie di bonifici riservati. Poche ore dopo, i soldi sono spariti. Non si è trattato di un errore umano, ma di un deepfake vocale generato con l’intelligenza artificiale. Un caso reale che mostra quanto l’AI, se combinata con il social engineering, possa diventare uno strumento criminale estremamente efficace.
L’episodio più emblematico è avvenuto nel settore finanziario, dove un dipendente ha ricevuto una chiamata apparentemente proveniente dal top management dell’azienda. La voce era quella del suo superiore diretto, nessun accento strano, nessun rumore sospetto. L’attaccante non ha forzato sistemi informatici, ha fatto qualcosa di più semplice e, allo stesso tempo, più pericoloso: ha sfruttato la fiducia.
Grazie a pochi minuti di audio reperibili online (interviste, video aziendali, conferenze), è riuscito a clonare una voce credibile al punto da ingannare professionisti esperti. Ottenendo come risultato milioni di euro trasferiti legalmente, seguendo procedure interne corrette, ma basate su una falsa identità.
I deepfake vocali non sono più una tecnologia sperimentale. A differenza dei deepfake video, la voce è molto più difficile da verificare. Non possiamo “vederla”, e siamo psicologicamente abituati a considerarla una prova di autenticità.
Ed è proprio qui che l’AI diventa l’arma perfetta per il social engineering. Non serve più fingersi un dirigente con una voce approssimativa o una mail sospetta. Ora l’attaccante può “essere” quella persona, almeno per il tempo necessario a ottenere ciò che vuole.
Il confine tra identità reale e artificiale diventa sfumato. E quando l’identità è compromessa, anche la sicurezza lo è. Molte aziende investono in cybersecurity, ma non sono preparate a questo tipo di attacco. Inoltre, questi attacchi non lasciano log sospetti né exploit evidenti. Dal punto di vista tecnico, tutto sembra legittimo.
Il problema non è solo tecnologico, è anche culturale. Questo episodio segna un punto di svolta importante: la voce non è più un fattore di autenticazione. Servono nuove contromisure, come maggiori verifiche multi-canale, parole chiave o protocolli interni, ma soprattutto serve una maggiore consapevolezza.
L’AI non è buona o cattiva: è potente. E come ogni tecnologia potente, riflette l’intenzione di chi la usa. Quando una macchina può imitare perfettamente una voce umana, non stiamo solo parlando di frodi. Stiamo parlando di fiducia, identità.