Phishing e ingegneria sociale nell'era dell'AI generativa

in Article

L’AI generativa ha aumentato qualità e scala degli attacchi di ingegneria sociale, dal phishing mirato alla clonazione vocale. Analizziamo i nuovi vettori e le contromisure tecniche e procedurali più efficaci.


Gli indicatori tradizionali del phishing — errori linguistici, formattazione approssimativa — hanno perso gran parte della loro utilità. L’AI generativa consente di produrre comunicazioni linguisticamente corrette, contestualizzate e personalizzate, spostando il punto debole dalla forma del messaggio ai processi che lo ricevono.

Qualità e scala degli attacchi

La generazione automatica di testo permette di condurre spear phishing su larga scala, calibrando i messaggi a partire da informazioni pubblicamente disponibili (siti aziendali, profili professionali, comunicati). Il risultato combina la precisione di un attacco mirato con la diffusione tipica delle campagne di massa.

Clonazione vocale e contenuti sintetici

La sintesi vocale a partire da pochi campioni audio ha reso praticabili le frodi basate su voice cloning, spesso associate a schemi di tipo business email compromise e CEO fraud. Analoghe considerazioni valgono per i contenuti video sintetici impiegati in videochiamate fraudolente per autorizzare pagamenti o accessi. Non si tratta di scenari ipotetici, ma di tecniche già osservate in contesti reali.

Contromisure tecniche

Sul piano tecnologico, alcune misure riducono significativamente la superficie d’attacco:

  • autenticazione delle email tramite SPF, DKIM e DMARC in modalità di enforcement;
  • adozione di MFA resistente al phishing (FIDO2/WebAuthn) in luogo dei soli codici OTP;
  • filtri anti-phishing e protezione degli endpoint;
  • segregazione dei privilegi e limitazione degli accessi sensibili.

Contromisure procedurali

La componente organizzativa resta decisiva, perché il bersaglio è il processo decisionale:

  • verifica out-of-band delle richieste finanziarie o di modifica delle coordinate, tramite canali indipendenti già noti;
  • doppia approvazione per i pagamenti oltre soglia e per le variazioni anagrafiche dei fornitori;
  • formazione continua e simulazioni mirate, con metriche di efficacia.

Un problema di processo, non solo di tecnologia

Difendersi dall’ingegneria sociale assistita dall’AI significa progettare processi che non dipendano dalla capacità del singolo di riconoscere un falso sempre più verosimile. La resilienza nasce dalla ridondanza dei controlli, non dalla sola attenzione individuale.

Riferimenti: Commissariato di P.S. Online