Truffa deepfake da 25 milioni: come riconoscere i video falsi e proteggere la tua azienda

18 Settembre 2025 ICT, Rassegna Stampa, Security

La truffa deepfake che ha colpito Arup a Hong Kong non è solo un caso di cronaca, ma il segnale di un cambiamento epocale: l’uso dell’intelligenza artificiale per inganni sofisticati che ridefiniscono fiducia, verità e sicurezza digitale. In questo articolo analizziamo l’anatomia della frode, l’impatto globale e le strategie difensive per affrontare il futuro della cybersicurezza.

Frode con intelligenza artificiale ad Arup

Il messaggio arriva come tanti altri: urgente, riservato, apparentemente dal direttore finanziario. Ma quando il dipendente della filiale di Hong Kong di Arup si collega alla videochiamata di verifica, non immagina di trovarsi davanti a quello che diventerà il più clamoroso caso di frode con intelligenza artificiale della storia recente. Sullo schermo, volti familiari, voci riconoscibili, espressioni convincenti. Eppure, ogni singola persona presente alla riunione è un fake digitale, un’illusione creata dall’AI.

Quando la videoconferenza si conclude, 200 milioni di dollari di Hong Kong — circa 25,6 milioni di dollari americani — hanno già preso la strada dei conti correnti dei truffatori attraverso 15 transazioni separate. È gennaio 2024, e il mondo della cybersicurezza sta per cambiare per sempre.

L’anatomia dell’inganno perfetto

La sofisticazione dell’attacco lascia gli esperti senza parole. Secondo la polizia di Hong Kong, i perpetratori hanno sviluppato deepfake generati dall’intelligenza artificiale utilizzando file video e audio esistenti raccolti da conferenze online e riunioni aziendali virtuali. La vittima, inizialmente sospettosa del messaggio email ricevuto, abbandona ogni cautela durante la videochiamata.

Secondo la polizia di Hong Kong, il lavoratore aveva inizialmente sospettato di aver ricevuto un’email di phishing dall’ufficio britannico dell’azienda, ma ha messo da parte i suoi dubbi dopo la videochiamata perché le altre persone presenti sembravano e suonavano proprio come i colleghi che riconosceva.

L’intera operazione fraudolenta si è svolta nell’arco di una settimana, dal primo contatto alla scoperta della truffa quando l’azienda ha iniziato a indagare sulla questione. Il raggiro è stato scoperto soltanto quando il dipendente ha successivamente verificato la richiesta con la sede centrale dell’azienda nel Regno Unito.

Truffa deepfake: l’esplosione globale del fenomeno

I numeri dipingono un quadro inquietante dell’evoluzione delle minacce digitali. Secondo i dati di iProov, gli attacchi deepfake utilizzanti tecnologia “face swap” per tentare di aggirare la verifica remota dell’identità sono aumentati del 704% nel 2023.

Parallelamente, il rapporto di Onfido evidenzia un aumento di 31 volte delle frodi deepfake, indicando un incremento del 3000% degli tentativi di deepfake tra il 2022 e il 2023. Secondo Andrew Newell, Chief Scientific Officer di iProov: “L’intelligenza artificiale generativa ha fornito un enorme impulso ai livelli di produttività degli attori delle minacce: questi strumenti sono relativamente economici, facilmente accessibili e possono essere utilizzati per creare media sintetici altamente convincenti”.

I dati di Chainabuse, piattaforma di segnalazione delle frodi di TRM Labs, mostrano che le segnalazioni di truffe abilitate dall’intelligenza artificiale generativa tra maggio 2024 e aprile 2025 sono aumentate del 456% rispetto allo stesso periodo dell’anno precedente.

L’Impatto sistemico sulle organizzazioni

Un recente studio di TitanHQ e Osterman Research ha rilevato che l’11% delle organizzazioni intervistate ha subito un attacco abilitato da deepfake nell’ultimo anno. Sebbene questa percentuale possa apparire contenuta, gli esperti la considerano solo l’inizio di un fenomeno destinato a crescere esponenzialmente.

Rob Greig, Chief Information Officer di Arup, ha dichiarato: “Come molte altre aziende nel mondo, le nostre operazioni sono soggette ad attacchi regolari, incluse frodi su fatture, truffe di phishing, spoofing vocale WhatsApp e deepfake. Quello che abbiamo osservato è che il numero e la sofisticatezza di questi attacchi è aumentato drasticamente negli ultimi mesi”.

La sfida della rilevazione

Una ricerca di iProov su 2.000 consumatori nel Regno Unito e negli Stati Uniti ha rivelato risultati allarmanti: solo lo 0,1% dei partecipanti è riuscito a distinguere accuratamente i contenuti reali da quelli falsi in tutti gli stimoli presentati, che includevano immagini e video.

Lo studio ha anche scoperto che i video deepfake si sono rivelati più difficili da identificare rispetto alle immagini deepfake, con i partecipanti che avevano il 36% in meno di probabilità di identificare correttamente un video sintetico rispetto a un’immagine sintetica.

Le ricerche condotte dal professor Hany Farid dell’Università della California Berkeley, insieme ai suoi colleghi, dimostrano che la clonazione vocale alimentata dall’AI continua a migliorare in termini di realismo utilizzando solo alcuni minuti di audio.

Tecnologie di difesa e limitazioni

Gli strumenti di face swap più comunemente utilizzati dagli attori malintenzionati sono SwapFace, DeepFaceLive e Swapstream, secondo i ricercatori di iProov. Gli analisti di iProov attualmente monitorano più di 110 diversi strumenti di face swap e repository che potrebbero essere utilizzati per generare deepfake dannosi.

La tecnologia di rilevamento, pur migliorando costantemente, rimane in una corsa contro il tempo con strumenti di generazione sempre più sofisticati. I modelli di machine learning possono essere facilmente confusi in situazioni reali, con un’accuratezza che può diminuire significativamente se l’audio è degradato o contiene rumore di fondo.

Strategie di difesa aziendale

Gli esperti in cybersicurezza raccomandano un approccio metodico che include diverse linee di difesa. La verifica dell’identità dell’interlocutore attraverso canali indipendenti rimane la prima strategia difensiva. È essenziale confermare sempre richieste finanziarie significative utilizzando numeri telefonici salvati in rubrica aziendale.

Un portavoce di Arup ha confermato: “Sfortunatamente, non possiamo entrare nei dettagli in questa fase poiché l’incidente è ancora oggetto di un’indagine in corso. Tuttavia, possiamo confermare che sono state utilizzate voci e immagini false. La nostra stabilità finanziaria e le operazioni aziendali non sono state compromesse e nessuno dei nostri sistemi interni è stato compromesso”.

Il futuro della verità digitale

Secondo Greig: “Quello che è successo ad Arup – lo definirei ingegneria sociale potenziata dalla tecnologia. Non è stato nemmeno un cyberattacco nel senso più puro. Nessuno dei nostri sistemi è stato compromesso e non ci sono stati dati interessati. Le persone sono state ingannate nel credere di stare eseguendo transazioni genuine che hanno portato denaro a lasciare l’organizzazione”.

Il caso Arup non rappresenta un episodio isolato, ma il sintomo di una trasformazione più profonda del panorama digitale contemporaneo. Con 18.500 dipendenti distribuiti in 34 uffici nel mondo, Arup è una delle aziende di ingegneria più rispettate al mondo, responsabile di strutture iconiche come la Sagrada Familia, il ponte marittimo più lungo del mondo e l’Opera House di Sydney.

La lezione che emerge è cristallina: nell’era dei deepfake, la fiducia deve essere conquistata attraverso verifiche multiple e indipendenti, non accordata automaticamente sulla base di ciò che percepiamo attraverso i nostri sensi. La strada da percorrere richiede un equilibrio delicato tra sospetto metodico e paralisi operativa, tra innovazione tecnologica e tutela della verità.

Il furto di 25 milioni di dollari perpetrato ai danni di Arup rappresenta soltanto l’inizio di una nuova sfida che ridefinirà radicalmente il modo in cui concepiamo fiducia, verità e sicurezza nell’era digitale contemporanea.