Truffati dall’IA: La nuova minaccia che svuota conti e cuori

C’è stato un tempo in cui “mi ha chiamato al telefono” era una prova sociale affidabile. O almeno, un indizio ragionevole.
Oggi no: la voce è diventata un formato. E, come tutti i formati digitali, si copia, si incolla, si ottimizza. Il punto non è soltanto che l’intelligenza artificiale renda le truffe più “creative”. Il punto è che sta industrializzando la credibilità: sta abbassando il costo della verosimiglianza e sta alzando la scala dell’inganno. Il salto non è “più truffe online”, ma un altro tipo di truffa: meno basata sul testo e più basata su segnali che per decenni hanno funzionato come scorciatoie cognitive. Email sgrammaticate e link sospetti hanno abituato a cercare il difetto. I deepfake spostano la questione altrove: non chiedono di credere a una frase, chiedono di riconoscere una persona. È un passaggio sottile ma decisivo, perché cambia il campo da gioco: dalla prudenza razionale al riconoscimento emotivo.
Il caso del 2024 dell’amministratore delegato di un’azienda di Hong Kong è diventato un riferimento proprio per questo. Un dirigente partecipa a una videochiamata che appare ordinaria, con figure che sembrano colleghi e CFO; riceve indicazioni e, seguendole, esegue una serie di trasferimenti verso conti diversi. Solo dopo scopre l’amara verità: in quella call non c’era nessuno, se non simulazioni convincenti di volti e voci. Il danno è stato enorme, nell’ordine di decine di milioni di dollari. Non è una storia utile per alimentare l’idea che “ci cascano i creduloni”. È utile per capire il meccanismo: la truffa non si limita più a fingersi plausibile, simula un contesto relazionale. È design dell’inganno. Quando entra in scena la componente non solo testuale, la frode esce dal dominio del sospetto e finisce nel dominio della fiducia: volto, voce, gerarchia, urgenza. In altre parole: ciò che normalmente si usa per prendere decisioni rapide senza dover verificare tutto.
È qui che si capisce perché funzioni. Le truffe migliori non chiedono tempo: lo tolgono. Il copione ricorrente è quasi sempre identico, proprio perché è costruito attorno alla fisiologia della paura. Un evento improvviso, un senso di emergenza, un canale che impedisce di ragionare con calma, una richiesta economica presentata come soluzione immediata. Con la clonazione vocale la leva diventa ancora più efficace, perché il cervello fa da “compressore”: se sembra la voce di un figlio o di un capo, il resto si completa da solo. Non serve perfezione: basta superare una soglia di plausibilità mentre l’adrenalina fa scendere il livello di controllo.
In Italia, questa logica ha già mostrato di saper colpire anche in alto. La truffa del “falso Crosetto” a inizio 2025, con richieste di denaro a imprenditori e figure note, è stata ricostruita da più fonti e ha incluso bonifici per cifre rilevanti, fino a un milione di euro. Qui l’elemento interessante non è l’aneddoto, ma l’asimmetria che rivela: la tecnologia riduce drasticamente il costo di mettere in scena la fiducia, mentre la difesa richiede sempre la stessa cosa, cioè interrompere il flusso. Nel dibattito pubblico il danno economico occupa inevitabilmente il centro della scena. È comprensibile: i numeri fanno notizia. Ma la parte che spesso resta fuori campo è il costo psicologico. Dopo una truffa, soprattutto quando passa da voce e volto, molte vittime descrivono un impatto che somiglia a una frattura della realtà: non solo perdita patrimoniale, ma perdita di sicurezza, di sonno, di lucidità, di fiducia. È anche per questo che si denuncia meno di quanto si immagini. Non perché manchino strumenti o canali, ma perché l’episodio viene vissuto come fallimento personale, non come attacco criminale costruito per sfruttare reazioni umane normali. E quando la narrazione sociale si riduce a “bisogna stare più attenti”, la conseguenza è prevedibile: vergogna, silenzio, isolamento. Alleati perfetti dei truffatori.
Che il problema sia ormai sistemico lo dicono anche le istituzioni, quando sono costrette a intervenire pubblicamente per difendere la propria identità. Nel 2024 Banca d’Italia ha pubblicato avvisi ufficiali sulla presenza online di videomessaggi falsi, realizzati con tecniche di deepfake, che replicano immagine e voce del Governatore e veicolano messaggi ingannevoli. Proprio poche settimane fa, CONSOB ha diramato un’avvertenza su email fraudolente che si spacciano per comunicazioni dell’Autorità, con documenti contraffatti e richieste di denaro legate a presunti “sblocchi” o “recuperi”. Quando un’istituzione deve dire “se arriva un messaggio così, non siamo noi”, non è più soltanto un tema di alfabetizzazione digitale individuale: è un problema di infrastruttura della fiducia.
L’intelligenza artificiale dà ai truffatori vantaggi industriali: scala, adattamento, credibilità. Possono fare più tentativi, con più varianti, personalizzate, a costo marginale basso. Possono cambiare lingua e tono, superando filtri umani che fino a ieri funzionavano. Possono combinare voce, video e chat fino a generare una sensazione di presenza. La difesa, al contrario, non può “scalare” allo stesso modo, perché l’unica difesa realmente efficace richiede una cosa impopolare: rallentare. Fermarsi. Verificare. Ripetere. Mettere attrito.
Ed è una direzione controintuitiva, perché gli ultimi quindici anni di cultura digitale hanno lavorato in senso opposto: eliminare attrito, rendere tutto più fluido, più rapido, più “one click”. La sicurezza, invece, vive di frizioni e di procedure. La differenza, in questo scenario, la fa un cambio di protocollo mentale più che una competenza tecnica. Davanti a una richiesta inattesa, soprattutto se urgente e con una componente economica, la priorità non è eseguire ma verificare. E la verifica non avviene nello stesso canale dell’attacco: non si “risponde” a una telefonata per verificare la telefonata, non si conferma un WhatsApp su WhatsApp. Si usa un canale indipendente e un contatto noto, proprio perché il canale in cui arriva l’attacco è già potenzialmente compromesso.
Sul piano privato, funzionano accorgimenti banali e spesso trascurati: accordarsi su una parola in famiglia, fare domande che un estraneo non saprebbe improvvisare, diffidare dei dettagli troppo perfetti e, soprattutto, della fretta. Sul piano aziendale la logica è analoga ma deve diventare procedura: separare identità e autorizzazione, evitare che un solo segnale (una voce, un video, un messaggio) basti per sbloccare un pagamento o una decisione. La doppia approvazione, le soglie, il richiamo obbligatorio, la tracciabilità e l’autenticazione forte contano perché non si basano sulla “bravura” del singolo, ma rendono più difficile l’esecuzione anche quando qualcuno è sotto stress.
E poi c’è un punto che viene sottovalutato: la formazione. Non quella generica, fatta di slide e buone intenzioni, ma quella situazionale, con simulazioni realistiche. Le persone non vengono ingannate perché “non sanno”. Vengono ingannate perché, sotto pressione, il cervello sceglie scorciatoie. Allenare la risposta sotto stress è molto più utile che ricordare, a freddo, che “potrebbe essere un deepfake”.
Non è realistico pensare che tutti diventino esperti di analisi forense. E non sarebbe nemmeno desiderabile: una società non funziona se ogni interazione richiede paranoia. La direzione più concreta è spostare la fiducia dal contenuto alla provenienza. Non “sembra lui”, ma “è verificato che sia lui”. È anche qui che avvisi come quelli di Banca d’Italia e CONSOB assumono valore: segnalano che il problema non riguarda solo l’attenzione del singolo, ma un cambiamento strutturale del modo in cui si costruisce credibilità online. Nel frattempo, l’unica difesa davvero universale resta una virtù fuori moda: rallentare quando qualcuno spinge ad accelerare. In un’epoca in cui una voce può essere “scaricata”, l’attrito diventa una forma di sicurezza. E, paradossalmente, anche una forma di cura: perché toglie ai truffatori la loro risorsa principale, l’emozione compressa in pochi secondi.