Con l’intelligenza artificiale la manipolazione digitale entra in una nuova fase: deepfake, chatbot e phishing iper-personalizzati rendono gli attacchi più credibili. Servono contromisure aggiornate e cultura della sicurezza
L’ingegneria sociale, quel sistema che può sfruttare la fiducia umana per compiere truffe digitali, ha trovato un alleato formidabile nell’intelligenza artificiale. L’Ai generativa sta accelerando e affinando le tecniche di frode: grazie a modelli linguistici, deepfake realistici e chatbot autonomi, gli attacchi informatici diventano più rapidi, sofisticati e indolori dal punto di vista dell’attaccante. Gli strumenti consentono la creazione di email, siti web o messaggi che riproducono identità digitali reali in pochi minuti, riducendo drasticamente la barriera tecnica che un tempo frenava i truffatori.
Ad esempio, un hacker può generare un messaggio che sembra provenire dal responsabile finanziario di un’azienda, con firma, stile e riferimento a dati interni. L’Ai analizza la “voce digitale” del target, replica il tono e suggerisce contenuti plausibili: l’inganno diventa più credibile e l’errore dell’utente più probabile. Le implicazioni non riguardano solo il singolo individuo: interi sistemi aziendali e infrastrutture possono essere compromessi con un semplice click.
Nel panorama italiano e globale, la minaccia prende forma concreta: tra il 2024 e il 2025 le segnalazioni di phishing manipolato con Ai sono aumentate del 70%. Le aziende di cybersecurity registrano un rialzo evidente degli attacchi che sfruttano logiche comportamentali e modelli predittivi per anticipare la reazione delle vittime. I costi stimati di un singolo incidente – perdita dati, downtime, reputazione – vanno da 3 a 10 milioni di euro per impresa di medie dimensioni, come confermato dai dati della ricerca globale di Ibm e Ponemon Institute “Report cost of a data breach 2025”.
Contro questa evoluzione, le contromisure tradizionali non bastano più. I sistemi antifrode devono integrare capacità di rilevazione di modelli generativi, autenticazione a più fattori rafforzata, monitoraggio del comportamento e formazione costante dell’utente. La normativa europea – tra cui la direttiva Nis2 e le linee guida della Enisa, l’agenzia dedicata al miglioramento della sicurezza informatica in Europa – richiede alle aziende di settori ritenuti critici di dotarsi di piani di gestione del rischio cyber e di testare regolarmente la resilienza delle proprie infrastrutture.
Anche la responsabilità giuridica è al centro del dibattito: in caso di attacco basato sull’Ai generativa, chi risponde? L’azienda che subisce l’accesso ingannevole, il provider che fornisce l’Ai o chi ha progettato l’attacco? Le norme europee stanno cercando di adeguarsi, ma le linee guida sono ancora in fase di definizione.
In un contesto in cui l’Ai rende la frode digitale più subdola e pervasiva, la sfida si sposta dalla tecnologia al fattore umano, dalla vulnerabilità dei sistemi alla vulnerabilità delle scelte quotidiane. In un mondo in cui click e consenso diventano strumenti, la cultura della sicurezza diventa tanto fondamentale quanto la robustezza tecnica delle infrastrutture.
