La sicurezza d’impresa entra in una nuova era, dove l’avversario più insidioso non è un codice malevolo, ma una copia della nostra stessa voce. L’Intelligenza Artificiale, lo stesso strumento su cui contiamo per innovare, può generare un rischio ancora poco noto e inedito, chiamato voice cloning. Con una manciata di secondi di audio, oggi chiunque può clonare la voce di un responsabile aziendale per orchestrare frodi, dimostrando come la fiducia, da sempre un pilastro delle nostre organizzazioni, sia diventata il fulcro di nuove vulnerabilità.
Non si tratta di un’ipotetica minaccia futura, ma di una realtà concreta, che certo non risparmia l’Italia. All’inizio del 2025 ha fatto notizia il ricevimento da parte di importanti imprenditori italiani di una telefonata del Ministro della Difesa Guido Crosetto, che li invitava a effettuare bonifici su un conto straniero per contribuire alla liberazione di non meglio identificati giornalisti italiani.
Una truffa, ovviamente che ha avuto “successo” perché almeno una persona ha realmente effettuato un bonifico.
La sicurezza d’impresa entra in una nuova era, dove l’avversario più insidioso non è un malware, ma una copia della nostra stessa voce e la realtà è che il “vishing” (voice phishing) si è evoluto, e può prendere di mira chiunque. Immaginate di ricevere una telefonata dal vostro CEO che, con tono concitato, vi chiede di autorizzare un bonifico urgente. La voce è identica, la richiesta plausibile. Quanti, in una simile situazione, seguirebbero una procedura codificata e quanti invece, spinti dall’urgenza e dalla familiarità della voce, agirebbero d’impulso? È qui che il social engineering raggiunge la sua massima efficacia.
Solo nel Regno Unito il 2025 Phishing Threat Trends Report ha registrato un netto aumento nell’uso di attacchi di phishing via telefono, incrementati del 449% rispetto all’anno precedente. L’uso dell’intelligenza artificiale per la generazione di voci è stato prevalente, con il 77% dei numeri di richiamata che utilizzava voci generate dall’AI. La maggior parte degli attacchi di vishing (69%) era giustificata da motivazioni finanziarie, con richieste fraudolente di modifiche dei dati bancari, rimborsi o trasferimenti.
In Italia il fenomeno non è marginale, anzi. Secondo i dati del Servizio di Polizia Postale, nel primo semestre del 2025, il vishing ha rappresentato il 26% delle modalità di furto d’identità rilevate in Italia, confermandosi una tecnica sempre più di riferimento per i criminali.
A rendere il quadro ancora più allarmante contribuiscono due fattori: da un lato, la crescente accessibilità di software in grado di clonare una voce tramite semplici abbonamenti a costi contenuti; dall’altro, il tempo estremamente ridotto necessario per ottenere risultati credibili. È infatti sufficiente un campione di appena 10 minuti di registrazione per riprodurre una voce con un livello di somiglianza sorprendentemente elevato rispetto all’originale.
Di fronte a una prova del genere, rispondere con la sola tecnologia è una strategia destinata a fallire. La vera sfida non è più solo proteggere il perimetro digitale, ma rinforzare quello umano.
È ormai emerso da tempo che la sicurezza non può più essere considerata come un semplice insieme di prodotti, ma una disciplina basata su un approccio olistico. Questi attacchi non colpiscono solo la tecnologia, ma soprattutto le persone. L’elemento umano – storicamente la prima risorsa – diventa anche la principale superficie d’attacco. Per questo la risposta non può essere solo tecnica: deve essere culturale, procedurale, organizzativa e significa orchestrare la difesa su tre pilastri complementari:
- Costruire un “firewall umano”: La prima linea di difesa sono le persone. È fondamentale investire in una formazione continua che non si limiti a enunciare le regole, ma che crei una vera cultura della sicurezza. Nessuna richiesta sensibile, specialmente se ricevuta tramite canale vocale, deve essere processata senza una verifica su un canale alternativo. È necessario dare ai team gli strumenti e la forza legittima di poter mettere in discussione anche un ordine che sembra arrivare dal vertice.
- Adottare solidi protocolli di verifica: La fiducia non può più essere implicita. È necessario implementare procedure ferree per le operazioni critiche, come l’autorizzazione di pagamenti. L’obbligo di una conferma multi-canale (ad esempio, una telefonata seguita da un’autorizzazione su una piattaforma di messaggistica aziendale) o l’uso di “safe word” (parole di sicurezza) condivise, trasformano un processo vulnerabile in uno fortificato.
- Integrare un monitoraggio avanzato: La tecnologia rimane un alleato cruciale, se usata per potenziare l’analisi umana. Un Security Operation Center (SOC) moderno non si limita a bloccare le minacce note, ma analizza i comportamenti per rilevare le anomalie. L’obiettivo è identificare i primi deboli segnali di un attacco potenziale in corso – come una richiesta anomala, anche se veicolata da una voce fidata – prima che si trasformi in un incidente conclamato.
L’Intelligenza Artificiale continuerà a evolvere, e con essa le minacce che la stessa AI contribuisce a sviluppare. La nostra risposta non può essere statica. La sicurezza non può essere una voce di costo, ma una leva di affidabilità e continuità del business. In un mondo dove la voce di chiunque può essere replicata, la nostra capacità di fidarci dei processi, e non solo delle persone, diventerà il nostro più grande vantaggio competitivo.
di Marco Bavazzano, CEO Axitea
