di Lorenzo Lazzeri
Mentre mi apprestavo a scrivere questo articolo mi arrivava un messaggio su WhatsApp. Un genitore della mia lista contatti invitava a votare una bambina a un concorso. Per esprimere il voto si richiedeva una verifica dell’identità del votante. Era proprio quel passaggio il problema, perché avrebbe consentito a terzi di infiltrare l’account della vittima e prenderne il controllo. Il meccanismo era elementare e stava tutto nella credibilità della richiesta, non serviva nessun malware o deepfake. Bastava un link e una richiesta plausibile di un conoscente.
Le truffe in rete sono in continuo aumento. Nel 2025 phishing e ingegneria sociale sono cresciuti del 66% in Italia e del 75% a livello globale. I messaggi fraudolenti generati con l’IA sono scritti in un italiano corretto, imitando lo stile di banche e istituzioni e includendo, spesso, riferimenti personali ricavati da fonti pubbliche e social network. Gli errori grammaticali che per anni hanno permesso di riconoscere le truffe non esistono quasi più.
I dati sono nel Rapporto Clusit di marzo 2026, basato sull’analisi dell’anno solare 2025. L’IA ha trasformato il crimine informatico in una sempre più rapida e replicabile attività industriale online. Il Clusit la definisce un moltiplicatore di rischio su tre livelli grazie alla produzione di esche credibili, l’automazione dello sviluppo di codice malevolo e la individuazione di vulnerabilità nei sistemi che la integrano. Nel mercato nero, strumenti di IA offensiva vengono venduti secondo il modello “as-a-service“; un criminale senza competenze tecniche può acquistare un kit per generare campagne di phishing o un malware polimorfico, capace di modificare la propria impronta per eludere i database degli antivirus.
La manipolazione dell’identità è attualmente il nuovo “Ground Zero” del conflitto cyber dove l’impatto è più diretto. I deepfake audio e video vengono utilizzati per impersonare dirigenti aziendali durante videochiamate in tempo reale, con volto e voce sintetizzati, per indurre autorizzazioni fraudolente o trasferimenti di denaro. È una variante della CEO Fraud, resa più credibile dalla qualità crescente dei deepfake. La stessa tecnologia può mettere in crisi i controlli biometrici basati su voce e volto, soprattutto quando la verifica si affida a segnali statici o procedure deboli.
Anche le estorsioni stanno cambiando forma. Nel 2025 molti gruppi criminali hanno smesso del tutto di cifrare i file delle vittime, passando direttamente all’esfiltrazione silenziosa, con la quale si copiano i dati senza bloccare i sistemi per non attirare l’attenzione, per poi usare l’IA per identificare le informazioni più compromettenti.
La pressione sulla vittima combina minacce di pubblicazione, eventuale cifratura dei sistemi rimasti operativi e, in alcuni casi, attacchi DDoS (tentativi di rendere un sito, un server, una rete, inaccessibili) usati come leva ulteriore.
Il Clusit registra un calo delle varianti di malware identificabili, ma un aumento della loro efficacia grazie al codice polimorfico generato da algoritmi (i primi codici polimorfici sono stati creati nel 1989-1991, dimostrando che codici malevoli potevano già all’epoca sfuggire all’analisi standard di software antivirus n.d.r.).
Lo sfruttamento delle vulnerabilità software è cresciuto del 65% a livello globale. L’IA viene usata anche per accelerare l’analisi del codice e la ricerca di falle di sicurezza, i cosiddetti zero-day, vulnerabilità non ancora note ai produttori; facendo in modo di ridurre il tempo che separa la loro scoperta dal suo sfruttamento da mesi a giorni.
Il rapporto identifica due rischi futuri, ma che già sono in fase di materializzazione. Parliamo dell’IA agentica, una sorta di collaboratore che agisce: praticamente sono sistemi dotati di memoria, capacità di pianificazione e permessi per operare in autonomia nelle reti aziendali. Se manipolati adeguatamente, possono esfiltrare dati o alterare processi senza attivare allarmi perimetrali. Il Clusit segnala vari rischi come lo shadow tasking, dove agenti IA che operano silenti per mesi, deviano piccole somme o modificano record logistici, oppure il data poisoning con il quale si alterano dei dati usati per addestrare i modelli di IA difensivi, con l’obiettivo di corromperne il giudizio e renderli incapaci di riconoscere specifiche tipologie di attacco.
La risposta indicata dal Clusit passa dalla crisi dell’autenticazione biometrica verso modelli basati su attestazioni crittografiche verificate. Gli EU Digital Identity Wallet (un’app europea che fungerà da portafoglio digitale sicuro e certificato sul proprio smartphone) previsti dal nuovo quadro europeo sull’identità digitale dovrebbero rafforzare l’autenticazione attraverso attestazioni crittografiche e credenziali verificabili. Per i cittadini il messaggio è esplicito. Ogni comunicazione che richieda dati personali, credenziali o trasferimenti di denaro va verificata attraverso un canale indipendente, anche quando il mittente appare familiare. L’IA ha reso la simulazione dell’identità accessibile a chiunque con poche centinaia di euro.
