Questa nuova truffa AI sembra scritta da qualcuno che ti conosce

L’intelligenza artificiale ha rivoluzionato il phishing, trasformandolo da attacchi grezzi a operazioni chirurgiche. Nel 2026, non si tratta più di e-mail con errori ortografici, ma di messaggi generati da modelli linguistici che producono testi fluidi e contestualizzati. Questi tool attingono a dataset pubblici per imitare stili personali, rendendo ogni attacco unico.

In Italia, le campagne sfruttano temi caldi come SPID, bonus fiscali o allerte sanitarie, raccogliendo dati da profili social aperti. Il risultato? Tassi di successo elevatissimi, perché l’AI elimina gli indizi classici del phishing tradizionale. Immagina un’e-mail che cita il tuo hobby da un post pubblico. Risultato? Sembra scritta da un amico.

Questa evoluzione include deepfake multimodali con audio sintetici che imitano voci familiari e video falsi in chat. L’AI non solo crea, ma si adatta. Se ignori un messaggio, ne arriva uno più pressante, prevedendo le tue reazioni da pattern comportamentali pubblici.

Trucchi Criminali Rivelati

I cybercriminali usano kit open source condivisi in forum underground per lanciare attacchi sofisticati. Ecco i principali metodi nel 2026.

• Iper-personalizzazione OSINT: Dati pubblici da social (nomi, luoghi, interessi) generano e-mail su misura, come “Visto il tuo viaggio a Milano, ecco l’offerta regionale”.
• Deepfake e Multi-Canale: Voci sintetiche per chiamate false; QR code su SMS o WhatsApp che portano a siti clonati.
• Urgenza Psicologica: Frasi come “Accesso SPID bloccato tra 1 ora!” spingono all’azione impulsiva, con domini “typosquattati” (es. “redhotciber.com”).
• Evasione Automatica: L’AI varia testi per superare filtri, usando sinonimi naturali da testi open source.

Questi trucchi evolvono in tempo reale, creando catene di attacchi che colpiscono e-mail, telefono e app.

Automazione Adattiva

L’AI analizza risposte passate per raffinare l’attacco, da e-mail a voce, erodendo difese con bias come autorità o scarsità.

Esempi Italiani li possiamo avere nelle campagne su bonus PNRR o vaccini usano dati da forum pubblici, rendendo gli attacchi localizzati e credibili.

Checklist per Difendersi

Adotta verifiche sistematiche basate su pratiche open source. Non cliccare subito, pensa due volte.

Abitudini extra come “MFA ovunque”, “password uniche”, “check breach” su siti pubblici come Have I Been Pwned.

Strategie Awareness Avanzate

L’awareness è la tua miglior difesa contro il phishing, basta buon senso per non cadere nei tranelli!

1. Quiz Google gratuito: Esercitati giocando con il test interattivo ufficiale phishingquiz.withgoogle.com– 15 e-mail vere/false con punteggio immediato!
2. Monitoraggio OSINT: Cerca con i “Google Dorks” informazioni esposte pubblicamente.
3. Abitudine quotidiana: Prima di cliccare link urgenti, fai una pausa 2 minuti, verifica e se necessario chiama il numero ufficiale che hai salvato.

Numeri: Il CERT-AgID ha bloccato 3.620 attacchi phishing nel 2025 (328 solo su PagoPA!), salvando migliaia di utenti con alert rapidi.

Conclusioni e Azioni

In sintesi, il phishing AI punta su realismo e psicologia, ma checklist e awareness riducono l’impatto. Inizia oggi, verifica un’e-mail sospetta che hai ricevuto ed implementa MFA.
La cybersecurity è proattiva – condividi queste tattiche per un web più sicuro.

Stefano Dibisceglia

Service Manager in KPMG Open Platform, coordino i Cyber Managed Services, inclusi CTI, Awareness, VA/PT e Third Party Risk Management. Con oltre 15 anni di esperienza in cyber security, gestione progetti e infrastrutture IT, supporto clienti enterprise e PA nel rafforzamento della sicurezza e nella continuità operativa.

Aree di competenza: Cyber Security, Managed Services, Threat Intelligence, Risk Management, Antifrode, Project Management, Leadership, Governance.