Ti arriva una chiamata, è il tuo capo che ti invita a eseguire urgentemente un compito (fare un bonifico, firmare un documento etc etc)... ma è una truffa. Non cascarci.
Con l’intelligenza artificiale, oggi, si può fare davvero di tutto. Dalle automazioni informatiche alle ricerche di settore, passando per passatempi, conversazioni e addirittura previsioni sul futuro, l’AI ha cambiato radicalmente il modo di agire, di pensare e persino di lavorare di milioni di persone. Tra queste, ci sono ovviamente anche gli hacker e i truffatori. E come non usare uno strumento tanto prezioso per creare dei raggiri ancora più subdoli e apparentemente infallibili?
Se il tutto, poi, è possibile realizzarlo con strumenti di uso comune, legali e persino facilitati, il gioco è fatto. Ed è così che il deepfake, vale a dire la tecnologia basata sull’IA capace di replicare volti ed espressioni di un essere realmente esistente, si trasforma con poco anche in voice cloning: in sostanza, ti possono clonare la voce e utilizzarla per simulare chiamate, richieste, persino acquisti telefonici e approvazione vocale a contratti e polizze. Insomma, un’arma che può essere usata per i fini più disparati ma con un unico denominatore: rubare dati e/o soldi.
Ed è proprio così che è nata la truffa del finto CEO, un trucchetto telefonico che consiste nel replicare perfettamente con l’AI la voce del tuo capo che ti intima di ultimare una mansione, come fare un versamento o rilasciare dei dati sensibili. Uno scherzo che si è già tramutato in raggiro da milioni di euro per diverse aziende, tanto in Italia quanto all’estero. E anche i più scaltri e attenti possono cascarci in qualsiasi momento.
Come funziona la truffa del falso capo via telefono e perché è molto facile cascarci
La dinamica è molto semplice, ma anche inquietante. I truffatori raccolgono pochi secondi di audio della voce del dirigente da imitare – bastano interviste, video su LinkedIn, conferenze o anche brevi clip pubbliche o vocali – e li elaborano con software di sintesi vocale basati su AI. In pochi minuti ottengono un clone credibile, capace di riprodurre intonazione, accento, ritmo e persino le pause naturali.
A quel punto scatta la fase operativa. La vittima – spesso un dipendente dell’area amministrativa o finanziaria – riceve una telefonata o un messaggio vocale. Dall’altra parte c’è “il capo”, che parla in modo riconoscibile e familiare. Il contenuto è quasi sempre lo stesso: una richiesta urgente, riservata e non rimandabile. Può trattarsi di un bonifico per chiudere un’acquisizione, di un pagamento a un nuovo fornitore o dell’invio immediato di dati sensibili.
Il fattore chiave è proprio l’urgenza. Spesso aggiungono dettagli credibili (viaggi del CEO, riunioni in corso, operazioni confidenziali) per rendere la richiesta ancora più plausibile. Una volta effettuato il bonifico, il denaro viene trasferito rapidamente su conti intermedi e poi disperso, rendendo quasi impossibile il recupero.
In altri casi, l’obiettivo è il furto di identità aziendale: accessi, credenziali, documenti che possono essere sfruttati per attacchi successivi ancora più sofisticati. Inutile dire che il risultato è devastante.
Casi studio famosi che hanno fatto il giro del mondo (e cosa ci insegnano)
Negli ultimi anni, questa tipologia di frode è esplosa a livello globale, sia per frequenza sia per impatto economico. I numeri parlano chiaro: gli attacchi deepfake sono cresciuti del 3000% e le sole frodi basate sulla clonazione vocale hanno registrato un aumento del 680% in un anno. Le perdite medie superano ormai i 500.000 euro per singolo caso, con picchi che arrivano a decine di milioni.
Uno dei casi più noti risale al 2019, quando un dirigente di una compagnia energetica britannica trasferì circa 243.000 dollari (circa 205 mila euro al cambio) dopo aver ricevuto una chiamata con la voce perfettamente clonata del proprio CEO. L’accento, la cadenza, perfino le sfumature linguistiche erano identiche. Nessun sospetto, nessun controllo aggiuntivo. Solo dopo il bonifico si scoprì la truffa.
Ancora più clamoroso il caso della multinazionale asiatica del 2025: un direttore finanziario partecipò a una videochiamata con colleghi e dirigenti apparentemente reali. In realtà, ogni volto e ogni voce erano deepfake. Il risultato? Quasi mezzo milione di dollari trasferiti a criminali in pochi minuti.
Ma cosa accomuna tutti questi episodi? Alcuni segnali ricorrenti di tutte le truffe, dal phishing in giù:
- urgenza estrema (“serve subito, non possiamo aspettare”)
- richiesta di riservatezza (“non coinvolgere altri”)
- procedure fuori standard (nuovi conti, operazioni insolite)
Sono proprio questi elementi a dover accendere un campanello d’allarme. Il problema è che i metodi tradizionali di verifica - come riconoscere una voce, fare una call, controllare l’identità visiva - non bastano più. Oggi vedere e sentire non significa più credere.
© RIPRODUZIONE RISERVATA
