Deepfake, l’inganno perfetto: ecco come difendersi in poche mosse

I deepfake stanno aumentando in Italia, con truffe mirate a convincere vittime a trasferire denaro o condividere credenziali. Video e audio creati dall’AI replicano volti e voci reali, sfruttando dati personali dai social, generando urgenza e pressione psicologica. La novità è la facilità con cui possono ingannare anche utenti esperti. La prevenzione passa da verifica immediata dei contatti ufficiali, sospensione prima di agire e uso di strumenti anti-spoofing, riducendo il rischio di perdite finanziarie.

I deepfake sono dei video o delle registrazioni vocali completamente falsi, che vengono creati dalle intelligenza artificiali. Copiano alla perfezione la voce ed il volto di persone che conosci bene, come un amico o delle figure apicali, il tuo capo, il direttore della tua banca – per convincerti a fare cose pericolose.

Soprattutto se hai potere di firma, controllo economico, procura, etc.

Ma ecco come come funziona nella vita reale.

Ricevi un video su WhatsApp dove il tuo capo, con la sua voce esatta, ti dice “Marco, problema urgente con i fornitori, trasferisci 2.000€ sul mio conto ora”. Oppure una telefonata dalla tua banca: “Signora Rossi, il suo conto è bloccato per sospetta frode, mi dia i codici SPID”. Sembrano realistici al 100% perché l’AI ha analizzato migliaia di loro foto e video pubblici, solitamente dai social network, creando un clone perfetto.

Il tuo cervello dice “è lui!”, ma è solo un trucco digitale.

In Italia gli attacchi con queste tecniche, sono in aumento, ma stanno nascendo tecnologie innovative per identificare automaticamente i deepfake, rendendo sempre più difficile per i truffatori ingannare le persone.

Il Problema è peggio di quanto pensi

Il vero pericolo non è la tecnologia, macome ti senti quando li ricevi. L’AI creaurgenza estrema: “Devi agire ORA o perdi tutto!”. Il tuo cuore batte forte, il cervello si blocca, e clicchi senza pensare.

Esempi concreti che solitamente accadono:

• Lavoro: Video del CEO durante una videochiamata, sulle piattaforme note Google, Microsoft e chiede un bonifico per un “contratto urgente”
• Famiglia: Audio di tua figlia che piange “Papà, sono bloccata, mandami dei soldi!”
• Banca: Chiamata vocale perfetta del tuo direttore che chiede OTP per “verifica sicurezza”

Perché funziona? Perchè l’AI conosce i tuoi dati personali presi dai social, LinkedIn, Facebook (lavoro, vacanze, figli) e crea degli scenari credibili. Se esiti, manda un secondo messaggio ancora più pressante. Ti trovi di fronte ad una guerra psicologica digitale.

Come riconoscerli in 30 Secondi

Non serve essere esperti. Cerca questi5 difetti che l’AI non sa nascondere:

1. Gli occhi non si muovono in maniera naturale– Durante la riproduzione dei video, troverai il più delle volte le pupille che restano fisse o lampeggiano strane. Lo sguardo resta “piatto”, non hanno micromovimenti oculari naturali (occhi che “esplorano” mentre parlano).
2. La bocca potrebbe essere non sincronizzata– Le labbra generalmente arrivano un filo dopo la voce e soprattutto su parole che iniziano con “P/B/M“. Concentrati ad esaminare parole come “PagoPA”, “bonifico”, “mamma”, sono dei “suoni esplosivi” che richiedono movimenti labiali precisi e simultanei con la voce. L’AI deepfake li sbaglia quasi sempre.
3. Non sanno improvvisare – Significa che tutti i deepfake sono registrati in anticipo, non possono quindi rispondere a domande a sorpresa come farebbe da una persona vera. Chiedi “Ricordi il nostro ultimo pranzo?” il più delle volte balbettano o cambiano completamente il discorso.
4. Luci e ombre strane– Il volto è illuminato ma l’ombra potrebbe essere completamente sbagliata.
5. Pausa vocale robotica– Noi respiriamo mentre parliamo, pausa dopo la virgola, pausa dopo punto, pausa per enfasi. L’AI invece “respira” con silenzi innaturali tra le varie frasi, come un algoritmo matematico, pausa fissa, assente, o troppo lunga.

Regola d’oro: Mai agire sotto pressione. Hai 2 minuti per chiamare il numero ufficiale salvato nei contatti.

Cosa fare per controllare

Tre azioni semplicissime che salvano conti e serenità:

Salva i numeri importanti in rubrica, controlla sempre che siano corretti e registrati in maniera differente “Banca Ufficiale”, “Poste Ufficiale”, “SPID Ufficiale” controlla e confrontali sempre sui siti istituzionali, NON quelli che arrivano via e-mail. Questo metodo aiuta a controllare meglio lo spoofing. Cioè i truffatori falsificano il numero chiamante (es. fanno apparire il nome della banca durante la chiamata “Banca mia 02xxxxxx”pur chiamando dall’India. Ma soprattutto NON chiamare il numero che appare sullo schermo.

Pausa obbligatoria, ricevi chiamata/video urgente? Chiudi tutto, respira 10 secondi, chiama il numero salvato dalla rubrica. Se è vero, ti aspettano. Segnala sempre anche se non hai cliccato, manda screenshot alla tua banca, alle poste. Aiuti tutti.

Ho cliccato, ora cosa faccio?

Non farti prendere dal panico. Il90% dei casi si risolve se agisci subito:

1. Cambia TUTTE le password di quell’account da un altro dispositivo
2. Chiama banca/assistenzausando numero salvato (NON quello del messaggio)
3. Controlla haveibeenpwned.comse e-mail è in breach noti

Hai agito entro 1 ora? Probabilmente non è successo nulla.

I deepfake sonorealistici ma fragili. Non resistono apausa + verifica + buon senso.

Hai mai ricevuto una chiamata strana dal “tuo capo” o “banca”? Cosa hai fatto? Racconta nei commenti!

La cybersecurity è pratica quotidiana. Inizia ora!

Stefano Dibisceglia

Service Manager in KPMG Open Platform, coordino i Cyber Managed Services, inclusi CTI, Awareness, VA/PT e Third Party Risk Management. Con oltre 15 anni di esperienza in cyber security, gestione progetti e infrastrutture IT, supporto clienti enterprise e PA nel rafforzamento della sicurezza e nella continuità operativa.

Aree di competenza: Cyber Security, Managed Services, Threat Intelligence, Risk Management, Antifrode, Project Management, Leadership, Governance.