Immagina di sentir squillare il telefono. Si tratta del tuo capo che, concludere un affare importante, ti ordina freneticamente di fare un bonifico per milioni a un nuovo fornitore. La richiesta è insolita, ma la voce è inequivocabilmente la sua, quindi effettui il bonifico. Qualche ora dopo scopri che la storia dell’affare era falsa, il fornitore era un truffatore e la voce al telefono era una perfetta replica digitale.

Non è una scena di un film di fantascienza da brivido, ma la terrificante realtà delle sofisticate truffe dei deepfake e della clonazione vocale tramite IA, in rapida crescita. Con la sempre maggiore accessibilità dell’intelligenza artificiale per clonare la voce e per generare video profondamente falsi, queste truffe non si limitano più a obiettivi aziendali di alto valore, ma puntano a impersonare i familiari della vittima, creare disinformazione politica e perpetrare nuove forme di furto di identità.

Solo nel 2024 i casi di frode deepfake hanno fatto un balzo del 3000%, spinti dalla generale accessibilità di potenti strumenti di intelligenza artificiale, che attingono al vasto oceano dei dati personali online. I truffatori non hanno più bisogno di risorse degne di un film hollywoodiano, ma è sufficiente un software, di ormai facile reperibilità, che clona una voce da un breve clip sui social media o crea un video convincente ma falso a partire da foto di dominio pubblico.

Questa guida è concepita per darti le conoscenze necessarie per orientarti nel campo minato digitale, capire come funziona questa tecnologia, studiare esempi reali e il loro impatto devastante, nonché per indicarti le strategie più efficaci per individuare queste truffe e proteggere te, la tua famiglia e la tua azienda dalle frodi.

Cosa sono le truffe vocali di IA e dei deepfake?

Le truffe vocali di IA sfruttano una tecnologia sofisticata che imita la voce di una persona, di solito ottenendola da audio disponibili pubblicamente o da dati violati, e la abbina a un discorso di urgenza o angosciato per indurre la vittima a inviare denaro o a divulgare informazioni sensibili. La voce si spaccia per un familiare in una presunta situazione di emergenza o per un collega che ha bisogno di fondi immediati, sfruttando i legami emotivi e creando un senso di urgenza per frodare la vittima.

Dal canto loro, i falsi profondi (deepfake) sono dei video sintetici iperrealistici basati sull’IA o sull’apprendimento automatico, che sostituiscono i volti delle persone riprese in un filmato o ne alterano le espressioni oppure generano scenari completamente nuovi. Fanno sembrare che qualcuno abbia detto o fatto qualcosa che non è mai accaduto, confondendo i confini tra la realtà e l’invenzione.

La scienza dietro la clonazione vocale di IA e le truffe dei deepfake

La tecnologia alla base della falsificazione vocale di IA è la sintesi della voce, resa possibile dalle reti generative avversarie (GAN). Ecco una spiegazione semplificata del funzionamento:

  • Raccolta dei dati: al truffatore serve un campione della voce dell’obiettivo. Ottenerlo è più facile di quanto si pensi: spesso bastano pochi secondi di un messaggio vocale, di un video sui social media, di un’intervista in podcast o persino di una chiamata al servizio clienti.
  • Addestramento del modello: il modello di intelligenza artificiale analizza il campione vocale scomponendolo nelle sue caratteristiche uniche: intonazione, tono, accento, ritmo e persino le modalità di respirazione. Poi impara a imitare questi biomarcatori vocali.
  • Generazione e perfezionamento: il truffatore digita il testo che vuole far “leggere” all’IA. La parte generatrice della GAN crea l’audio, mentre la parte discriminatrice ne compara l’autenticità rispetto al campione vocale originale. In pochi secondi questo processo si ripete migliaia di volte, rendendo la voce generata sempre più realistica a ogni ciclo.

Il risultato è un file audio altamente convincente che viene utilizzato per una telefonata di vishing, o phishing vocale, oppure viene incorporato in un video.

La tecnologia dei video deepfake è abbastanza simile a quella della clonazione vocale, tranne per il fatto che i truffatori raccolgono immagini e video della persona obiettivo da fonti pubbliche come i social media, i notiziari o i siti web aziendali. Più dati visivi si hanno (differenti angolazioni, espressioni, illuminazioni, tratti del viso, manierismi e movimenti) più realistico sarà il deepfake finale.

Una volta addestrata, l’intelligenza artificiale sovrappone il volto sintetizzato a un video di un attore, facendo corrispondere espressioni e movimenti della testa con il volto della persona da colpire. L’audio, che potrebbe essere la voce clonata, viene poi sincronizzato con il video e utilizzato illecitamente a scopo di lucro, per danneggiare la reputazione dell’obiettivo o per manipolazioni politiche.

L’impatto delle truffe deepfake nel mondo reale

Frode dell’amministratore delegato

In queste truffe, dette anche come compromissioni dell’email aziendale, l’autore invia un’email spacciandosi per un dirigente al fine di indurre i dipendenti a effettuare bonifici non autorizzati. Nel 2019 l’amministratore delegato di una società energetica con sede nel Regno Unito è stato indotto a trasferire 220.000 euro a un presunto fornitore ungherese, dopo aver ricevuto una telefonata che imitava perfettamente la voce del capo della casa madre tedesca. L’AD ha riferito di aver riconosciuto il “leggero accento tedesco e la cadenza” del suo capo, ritenendo quindi veritiera la richiesta.

Le truffe ai nonni

Nella truffa ai nonni il criminale chiama una persona anziana fingendo di essere un nipote in difficoltà e bisognoso di fondi di emergenza. Per creare una richiesta di aiuto convincente, i truffatori estraggono un breve spezzone audio della voce del nipote da un video di TikTok o di Instagram. Durante una chiamata da un numero sconosciuto, una madre dell’Arizona ha udito la voce della figlia quindicenne che piangeva dicendo di essere stata rapita. Mentre la donna era al telefono, il marito ha chiamato la figlia, che si trovava al sicuro a un allenamento di sci. La voce al telefono era completamente falsificata.

→ Correlato: Come un parente stretto ha perso 100.000 dollari a causa di una truffa agli anziani

Disinformazione politica

La minaccia dell’IA si estende ai processi democratici per diffondere confusione in massa. All’inizio del 2024 i residenti del New Hampshire hanno ricevuto una telefonata automatica con un falso audio del presidente Joe Biden generato dall’IA, che li invitava a non votare alle primarie dello Stato. I malintenzionati possono utilizzare la tecnologia deepfake per creare video o audio compromettenti e ricattare le persone o comprometterne la reputazione.

Le truffe romantiche

I truffatori ora utilizzano immagini deepfake, video e voci clonate per creare personaggi falsi ma credibili sulle piattaforme di incontri. Le vittime, spesso persone sole in cerca di compagnia, vengono manipolate emotivamente e finanziariamente, grazie alle videochiamate deepfake che fugano eventuali sospetti di truffa. Molte donne hanno perso i loro risparmi, credendo di essere coinvolte sentimentalmente con una persona fidata o con una nota celebrità. Hanno capito di essere state truffate solo dopo aver inviato il denaro.

→ Correlato: I chatbot di IA diventano truffatori dell’amore. Una persona su tre ammette di poterci cadere

Le false promozioni da parte delle celebrità

I truffatori sovrappongono i volti e le voci delle celebrità a video promozionali di investimenti truffaldini e prodotti miracolosi. Sono i fan e i seguaci dei social media ad avere maggiori probabilità di essere ingannati e di spendere denaro, credendo che le promozioni siano autentiche. Un esempio recente è un video deepfake di Taylor Swift che regalava pentole, inducendo i fan ad acquistare tali prodotti.

L’elusione della sicurezza biometrica

I deepfake audio o video possono essere utilizzati per imitare le caratteristiche biometriche di una persona e ottenere l’accesso non autorizzato ai suoi conti correnti, telefoni cellulari e sistemi aziendali riservati. Sono particolarmente vulnerabili i titolari di conti finanziari e coloro che utilizzano il riconoscimento vocale o facciale per transazioni sensibili.

Impersonificazione di governo e forze dell’ordine

Con i falsi profondi i criminali si spacciano anche per le autorità (polizia, agenti del fisco o funzionari dell’immigrazione) durante chiamate o chat video, al fine di estorcere denaro o dati personali. Il rischio maggiore è per immigrati, anziani e coloro che non hanno familiarità con le norme procedurali in questione di volta in volta.

Come riconoscere una truffa

Che si tratti di una telefonata con una voce identica a quella di un tuo caro oppure di un video di un personaggio pubblico che dice qualcosa che non ha mai detto, queste truffe sono progettate per sfruttare la fiducia della vittima. Con le giuste nozioni si può però imparare a riconoscere i sottili indizi del fatto che c’è qualcosa che non va. Ecco i campanelli d’allarme di cui essere a conoscenza per individuare una voce di IA o un video deepfake truffaldino prima che sia troppo tardi.

Clone vocale di IA

I modelli di intelligenza artificiale faticano a replicare perfettamente le sfumature delle emozioni e del linguaggio umano. Per riconoscere i segni rivelatori di una truffa vocale quando si riceve una chiamata sospetta, anche se la voce sembra più o meno familiare, è necessario ascoltare attentamente le sottili imperfezioni elencate di seguito.

  • Monotonia o piattezza: il discorso è privo dei normali alti e bassi emotivi. Pur sembrando corretta, la voce è stranamente distaccata o robotica.
  • Artefatti digitali evidenti: soprattutto nelle chiamate più lunghe, si possono udire occasionalmente lievi ronzii elettronici, eco o “artefatti” audio che sono assenti nei parlanti umani.
  • Ritmo o cadenza insoliti: pause strane nel bel mezzo delle frasi o un ritmo inconsueto. A volte le parole scorrono in modo innaturale mentre la voce fa delle pause dove non dovrebbe, a differenza delle conversazioni reali.
  • Mancanza di suoni umani: non ci sono i piccoli suoni prodotti inconsciamente dalle persone, come lo schiarirsi la gola, il sospirare o altri rumori di riempimento. Si possono invece udire suoni respiratori, inseriti digitalmente, che sono troppo regolari. Nell’audio generato dall’IA sono le risate e le esclamazioni di sorpresa ad avere un suono particolarmente innaturale.
  • Scarsa qualità dell’audio o strani rumori di fondo: anche se non è un indizio certo, i truffatori spesso utilizzano un sottofondo di scrosci statici o di call center per mascherare le imperfezioni della voce clonata. Se i suoni di sottofondo sono generici o si ripetono ciclicamente, sono un potenziale segno di manipolazione.
  • Frasi ripetitive: il copione recitato dall’IA potrebbe essere limitato. Se fai una domanda e ricevi una versione leggermente riformulata di una precedente affermazione, diffida.

→ Correlato: Impostori artificiali: i criminali informatici ricorrono alla clonazione vocale tramite intelligenza artificiale per un nuovo tipo di truffa

I video deepfake

In una videochiamata o in un filmato ci sono degli indizi visivi rivelatori: le imperfezioni date dal fatto che l’IA non riesce a creare una realtà perfetta.

  • Tremolii visivi: osserva i tremolii improvvisi e brevi in cui il viso o la testa sembra vibrare o spostarsi in modo innaturale, soprattutto quando la persona si muove rapidamente.
  • Movimento degli occhi innaturale: i falsi profondi spesso non sbattono le palpebre in modo realistico. Il soggetto potrebbe sbattere le palpebre pochissimo o in modo innaturale. Se il suo sguardo non segue i tuoi movimenti o la telecamera, può essere un segnale di falsità.
  • Labiale non sincronizzato: le parole udite non sono perfettamente in sincrono con i movimenti della bocca. Questo fenomeno è più evidente all’inizio o alla fine delle frasi oppure durante un discorso rapido.
  • Espressioni facciali imbarazzanti: i movimenti del viso non corrispondono alle emozioni trasmesse dalla voce. Sorrisi e risate sono “punti di rottura” comuni per le imperfezioni dei video deepfake.
  • Bordi sfocati o deformati: osserva attentamente i bordi fra viso e collo, capelli o sfondo. Potresti notare una strana sfocatura, distorsione o un’incoerenza dei colori. I cappelli e gli occhiali sono un problema frequente dei video deepfake.
  • Illuminazione, ombre e trame incoerenti: l’illuminazione del volto della persona potrebbe non corrispondere a quella del resto della scena. Ad esempio, le ombre potrebbero cadere nella direzione sbagliata. Inoltre la pelle potrebbe apparire troppo liscia, cerosa o avere una superficie insolita.

→ Correlato: McAfee e Intel collaborano per combattere i deepfake con il rilevamento basato sull’IA

Strategia psicologica di una truffa: urgenza, segretezza ed emozioni

A parte la tecnologia, le truffe deepfake si basano sulle stesse tattiche di ingegneria sociale usate dalle frodi tradizionali. L’obiettivo è quello di cortocircuitare il pensiero critico mettendolo sotto pressione.

  • Estrema urgenza: il truffatore insiste sul fatto che devi agire subito, senza darti il tempo di pensare, consultare gli altri o verificare la richiesta.
  • Manipolazione emotiva: la comunicazione è attentamente studiata per provocare paura, ansia o eccitazione, che offuscano il giudizio e fanno abbassare le difese.
  • Obbligo di segretezza: ti viene detto di non parlare con nessun altro della richiesta in questione, millantando riservatezza o una preoccupazione per il benessere altrui.
  • Metodi di pagamento insoliti: i truffatori chiedono quasi sempre denaro attraverso metodi non convenzionali, come criptovalute o carte regalo, perché questi metodi non possono essere tracciati o annullati.
  • Aggancio emotivo: la richiesta è progettata per suscitare una forte risposta emotiva, come la paura per un (finto) rapimento, l’avidità per un affare segreto o la compassione per una persona cara in difficoltà.

Proteggi te e la tua azienda dalle frodi dell’IA

Per salvaguardare la tua sicurezza, sono fondamentali la consapevolezza e una difesa attiva. Abitudini semplici ma efficaci nella vita personale e professionale aiutano a costruire una solida difesa contro questi attacchi. Anche se nessuna tecnologia è infallibile, l’aggiunta di livelli di sicurezza può scoraggiare gli aggressori.

Per gli individui: rafforzare la propria sicurezza personale

  1. Stabilisci una parola d’ordine: concorda una parola o una domanda segreta con i tuoi familiari più stretti e invocala nel caso in cui ricevessi una telefonata concitata che ti chiede del denaro. Un truffatore che utilizza la clonazione vocale tramite IA non saprà la risposta.
  2. Verificare, verificare, verificare: se ricevi una richiesta urgente di denaro o di dati sensibili, riaggancia. Contatta la persona tramite un altro canale noto, che sia un numero di telefono attendibile, un SMS o un’altra app di messaggistica, per confermare l’autenticità della richiesta.
  3. Tieni presenti le tue tracce digitali: fai attenzione alla quantità di contenuti audio e video che pubblichi sui social media. Più campioni vocali ha un truffatore, migliore sarà il suo clone. Considera la possibilità di rendere privati i tuoi account.
  4. Interroga i chiamanti inaspettati: se ricevi una telefonata o una videochiamata da un numero sconosciuto, che dichiara di essere una persona che conosci, esercita scetticismo. Poni una domanda personale a cui solo la persona reale saprebbe rispondere.

Per le aziende: mettere in atto una difesa a più livelli

  1. Formazione obbligatoria dei dipendenti: la più grande vulnerabilità in qualsiasi organizzazione è un dipendente non formato. Conduci regolari sessioni di formazione per istruire i lavoratori sulle truffe dei deepfake, sul vishing e sulle tattiche di ingegneria sociale. Per mettere in risalto la minaccia usa degli esempi reali.
  2. Attuare protocolli di verifica rigorosi: crea una procedura di verifica in più fasi per qualsiasi transazione finanziaria o richiesta di trasferimento dati, soprattutto se insolita o urgente. Ciò può includere una verifica obbligatoria tramite richiamata a un numero pre-autorizzato o una verifica di persona per gli importi elevati. Non affidarti mai a un unico punto di contatto via telefono o email.
  3. Limitare le informazioni pubbliche: se possibile, limita la quantità di informazioni disponibili al pubblico relative ai dirigenti, come video e registrazioni audio sul sito web aziendale o nei forum pubblici.
  4. Usare la tecnologia come difesa: considera le soluzioni di sicurezza avanzate che utilizzano la biometria, come l'”impronta vocale”, per autenticare gli utenti.

Cosa fare dopo un tentativo di truffa tramite una voce di IA o un video deepfake

Scoprire di essere stati presi di mira da una voce di IA o da un video deepfake può essere sconvolgente, ma la tua reazione aiuterà a proteggere la tua identità, le tue finanze e gli altri. Ecco cosa fare subito dopo essersi imbattuti in un tentativo di truffa basato sull’intelligenza artificiale:

  • Non farti coinvolgere: riaggancia il telefono o termina immediatamente la videochiamata. Più a lungo resti in linea, più opportunità ha il truffatore di manipolarti. Non fornire nessun dato personale.
  • Non inviare denaro: per quanto la storia sia convincente o straziante, non effettuare pagamenti o bonifici.
  • Fermati a riflettere: fai un respiro profondo. La truffa è progettata per farti andare in panico. Concedersi un momento per pensare con chiarezza è la migliore difesa.
  • Verifica in modo indipendente: contatta la persona reale attraverso un canale di comunicazione attendibile e diverso, per sapere se sta bene e confermare la legittimità della richiesta.

Denunciare l’accaduto

Anche se non si è caduti in una truffa, segnalare il tentativo è fondamentale poiché aiuta le forze dell’ordine a identificare, tracciare e smantellare queste reti criminali.

  • Contatta le forze dell’ordine: denuncia la truffa a Polizia Postale o Carabinieri e al Garante. Puoi sporgere denuncia presso il Commissariato di P.S. Online. Puoi denunciare una frode anche all’indirizzo denunciaviaweb.carabinieri.it.
  • Informa l’Autorità Garante della Concorrenza e del Mercato: l’AGCM può accertare e vietare, di propria iniziativa o su segnalazione dei soggetti interessati, le pratiche commerciali scorrette.
  • Informa le piattaforme interessate: se la truffa proviene da una piattaforma social, segnala l’account che ha violato le politiche della piattaforma stessa in materia di impersonificazione e media sintetici.

Le conseguenze del cadere in una truffa vocale di IA o di un video deepfake

Essere vittima di falsificazioni vocali e falsi profondi può avere conseguenze devastanti, che si ripercuotono sulla tua vita finanziaria, personale e persino legale. Di seguito ne riportiamo alcune:

  • Ripercussioni immediate: l’impatto più immediato è la perdita economica, poiché i truffatori prosciugano i tuoi conti correnti o ti convincono a inviare somme ingenti in modo irrecuperabile.
  • Furto di identità e danni al credito: se condividi dati sensibili, i truffatori potrebbero aprire nuovi conti, chiedere dei prestiti o commettere ulteriori frodi a tuo nome. La tua affidabilità creditizia può subire danni a lungo termine, lasciandoti il problema di ripulire la tua identità.
  • Disagio emotivo: il trauma, l’imbarazzo e lo stress possono essere soverchianti, scatenando ansia, perdita di fiducia e persino depressione. Molte vittime colpevolizzano sé stesse, nonostante siano state prese di mira da un criminale molto sofisticato.
  • Ricadute legali e per la reputazione: clienti o autorità di regolamentazione possono intentare cause alle aziende, mentre i singoli individui potrebbero andare soggetti a indagini prolungate, soprattutto se i truffatori ne utilizzano le identità per attività nefaste.

Domande frequenti: deepfake e truffe dell’IA

È possibile creare un deepfake da una sola foto?

Anche se un maggior numero di dati (tante foto e video) produce falsi più convincenti, a partire da una singola fotografia si possono già creare dei deepfake basilari. Ad esempio, l’intelligenza artificiale può animare una foto per far sembrare che la persona stia parlando o si stia guardando intorno. Tuttavia, questi falsi sono spesso più facili da individuare rispetto ai deepfake creati a partire da filmati estesi.

Le truffe deepfake sono illegali?

Sì. L’uso dei deepfake a scopo di frode, molestie o impersonificazione è illegale. Nel 2024 le agenzie federali statunitensi hanno adottato misure significative per combattere questa minaccia. La Commissione Federale Comunicazioni (FCC) ha vietato l’uso delle voci generate dall’intelligenza artificiale nelle chiamate automatiche, mentre la Commissione Federale Commercio (FTC) ha introdotto delle norme che vietano specificamente di impersonare individui, aziende o agenzie governative a scopi fraudolenti.

Qual è il tipo di truffa deepfake più comune?

La frode finanziaria è attualmente il tipo di truffa deepfake più diffuso e dannoso. Ciò include la frode dell’amministratore delegato, detta anche compromissione dell’email aziendale, in cui i criminali utilizzano voci clonate dall’IA o video dei dirigenti per ingannare i dipendenti e indurli a effettuare bonifici non autorizzati. Anche le truffe che impersonano familiari in difficoltà per chiedere fondi di emergenza sono sempre più comuni ed efficaci.

Conclusioni

L’aumento delle truffe tramite i falsi profondi e le falsificazioni vocali resi possibili dall’IA rappresenta un grosso cambiamento per la sicurezza digitale, a causa della facilità con cui i truffatori falsificano digitalmente voci e sembianze. Tuttavia è possibile combattere queste attività dannose con una strategia di difesa di base che rimane straordinariamente umana: una migliore alfabetizzazione digitale, una maggiore vigilanza, un pensiero critico più profondo, una sana dose di scetticismo e un impegno alla verifica.

Capire come funziona la clonazione vocale creata dall’intelligenza artificiale, imparare a riconoscere i segnali di allarme tecnici e psicologici e attuare solidi protocolli di sicurezza nella vita personale e professionale ti aiuterà a costruire una difesa formidabile. In questo ti potranno aiutare le risorse di IA a disposizione di McAfee e i suoi strumenti di sicurezza informatica.

Il futuro porterà senza dubbio forme ancora più sofisticate di media sintetici. Rimanere informati e attivi è la strategia migliore. Condividi queste informazioni con familiari, amici e colleghi. Più persone sono consapevoli delle tattiche di truffa, meno efficaci diventano quest’ultime.