Le email di phishing sgrammaticate e facili da riconoscere sono un ricordo. Con l’intelligenza artificiale generativa, i criminali producono oggi messaggi perfetti, scritti nello stile del tuo fornitore o del tuo collega, spesso costruiti analizzando le comunicazioni pubbliche della tua stessa azienda. Il risultato: il tasso di successo delle truffe via email aziendale (BEC, Business Email Compromise) è cresciuto del 300% in due anni, e circa il 65% dei manager italiani ha già ricevuto messaggi fraudolenti personalizzati.
Cos’è cambiato con l’intelligenza artificiale
Fino a pochi anni fa il phishing era un gioco di numeri: milioni di email identiche, piene di errori, nella speranza che qualcuno abboccasse. L’AI ha cambiato le regole tre volte:
- Qualità del testo: i messaggi sono ora grammaticalmente impeccabili e contestualizzati. L’AI può analizzare migliaia di comunicazioni pubbliche di un’azienda per replicarne il linguaggio specifico.
- Personalizzazione su scala: quello che prima richiedeva giorni di studio della vittima (“spear phishing”) oggi è automatizzato. Ogni destinatario riceve un’esca cucita su misura: il nome del suo responsabile, il progetto a cui lavora, il fornitore abituale.
- Voce e video clonati: bastano pochi secondi di audio — presi da un video su YouTube o dai social — per clonare la voce di un amministratore. E cominciano a circolare videochiamate in cui l’interlocutore è un deepfake: casi ancora rari, ma in crescita, soprattutto nelle frodi BEC avanzate. I tentativi di truffa basati su deepfake risultano in aumento del 300%.
La truffa BEC: come funziona un attacco tipo
Il Business Email Compromise è la variante più costosa per le aziende. Lo schema classico:
- Il criminale studia l’azienda: chi paga le fatture, chi sono i fornitori, come si firmano le email.
- Arriva un messaggio credibile: “il fornitore” comunica nuove coordinate bancarie, oppure “l’amministratore delegato” chiede un bonifico urgente e riservato.
- A volte segue una telefonata o un vocale con la voce clonata del capo, che conferma la richiesta.
- Il bonifico parte verso il conto dei truffatori — e recuperarlo è quasi impossibile.
Nessun virus, nessun sistema violato: solo ingegneria sociale potenziata dall’AI. Per questo gli strumenti tecnici, da soli, non bastano.
Cosa significa per la tua azienda
La difesa efficace combina procedure, formazione e tecnologia:
- Procedure di verifica fuori canale: ogni cambio di IBAN o pagamento urgente va confermato con una telefonata al numero già noto (mai a quello indicato nell’email). È la contromisura più efficace in assoluto, e costa zero.
- Formazione periodica del personale: chi gestisce pagamenti e dati deve conoscere questi schemi. Un percorso di formazione su sicurezza e privacy aggiornato alle truffe AI trasforma i dipendenti da anello debole a prima linea di difesa.
- Autenticazione a più fattori ovunque: se anche le credenziali vengono rubate tramite phishing, la MFA blocca l’accesso alla casella email — impedendo ai criminali di studiare le tue comunicazioni dall’interno.
- Protezione tecnica della posta e della rete: filtri anti-phishing, controllo dei domini simili al tuo e difese a più livelli riducono drasticamente ciò che arriva nelle caselle.
Domande frequenti
Come riconosco un’email di phishing scritta con l’AI?
Non più dagli errori: dal contesto. Diffida di urgenza e riservatezza (“fai subito, non dirlo a nessuno”), richieste di cambio coordinate bancarie, allegati o link inattesi. E verifica sempre tramite un canale diverso dall’email stessa.
La voce al telefono era proprio quella del mio capo. Può essere finta?
Sì. La clonazione vocale richiede pochi secondi di audio pubblico ed è già usata nelle truffe BEC. Se una chiamata conferma una richiesta arrivata via email, non è più una verifica indipendente: richiama tu, al numero che conosci.
Basta un buon antispam per proteggersi?
Aiuta, ma non basta: le truffe BEC più efficaci non contengono né virus né link, solo testo credibile. Serve il triangolo procedure + formazione + tecnologia — ed è il motivo per cui la sicurezza va gestita come un processo continuo, non come un prodotto da installare.