Deepfake phishing in azienda: playbook e contromisure

Tra il 2024 e il 2025 sono emersi casi concreti in cui l’Intelligenza Artificiale è stata utilizzata per orchestrare frodi finanziarie su larga scala. In un episodio internazionale, un dipendente ha autorizzato un trasferimento di 25 milioni di dollari dopo una videocall con un dirigente che in realtà era un deepfake.

In Italia, imprenditori sono stati convinti a versare fino a un milione di euro grazie alla clonazione vocale di un alto funzionario. Non si tratta più di scenari ipotetici: il rischio è operativo e immediato.

Deepfake: come funziona

La catena dell’attacco segue una logica abbastanza ricorrente. Nella fase iniziale i criminal hacker raccolgono contenuti multimediali dei dirigenti (interviste, webinar, podcast), che vengono poi utilizzati per addestrare modelli di voice e face cloning.

Successivamente costruiscono una narrativa ad alta pressione: operazioni M&A, audit straordinari, urgenze legali o sanzionatorie, spesso accompagnate da richieste di massima riservatezza. Per aumentare la credibilità, non è raro che organizzino call di gruppo con falsi colleghi o legali. Infine, la richiesta economica viene eseguita con bonifici verso conti mule e successivo smistamento transnazionale.

I segnali di compromissione sono sottili ma rilevabili: richieste di pagamenti urgenti su coordinate bancarie mai utilizzate, pressioni esplicite per bypassare la contabilità, contatti provenienti da canali non ufficiali, e – durante le videocall – micro-asincronie tra audio e labiale, o anomalie nella resa di luci e movimenti.

Focus: Threat Intelligence

La Threat Intelligence rappresenta il fattore chiave per contrastare questi attacchi. L’approccio “outside-in” permette di monitorare domini e infrastrutture clone, numerazioni telefoniche sospette, mule account e perfino marketplace che offrono servizi di voice/video impersonation-as-a-service.

Contestualmente, il “footprint management” dei dirigenti – riducendo la disponibilità di materiali audio-video riutilizzabili o applicando watermark e rumore di fondo – diventa una misura preventiva essenziale.

Dal lato “inside-out”, invece, è cruciale integrare la detection nei processi interni: instradare automaticamente nel SOC e in Finance tutte le richieste di pagamento fuori processo, applicare un risk scoring ai ticket (nuovi IBAN, importi elevati, giurisdizioni insolite, tempistiche urgenti) ed archiviare artefatti tecnici per successive correlazioni ed enrichment.

Deepfake e contromisure

La resilienza non può essere affidata esclusivamente agli strumenti di detection. Servono procedure robuste e condivise:

• Verifica out-of-band tramite contatti interni noti, mai con i numeri forniti nel messaggio sospetto.

• Principio dei quattro occhi con doppia approvazione per nuovi beneficiari o modifiche IBAN.

• Codici di verifica per richieste urgenti dei C-level.

• Awareness training basato su casi reali, più efficace della sola formazione teorica.

A livello tecnico, possono essere adottati challenge di liveness durante le call (gesti imprevisti, lettura di codici, esposizione di oggetti fisici), oltre a tool di analisi anti-spoof audio e video. Tuttavia, queste soluzioni devono sempre essere considerate un livello di difesa supplementare, non sostitutivo delle policy aziendali.

Playbook operativo

Il flusso ideale prevede:

1. blocco immediato del pagamento in caso di IBAN insolito o urgenza anomala
2. verifica out-of-band del richiedente
3. raccolta di artefatti digitali (inviti meeting, header email, ID call, numerazioni)
4. arricchimento Threat Intelligence su indicatori tecnici
5. escalation a Finance/Legal e, se necessario, avvio di un recall bancario
6. La lezione appresa deve essere infine incorporata nella knowledge base e nei programmi di awareness.

Due frasi chiave

• Di fronte a pressioni sull’urgenza il dipendente potrebbe dire: “Per policy devo confermare tramite contatto interno e seconda approvazione. Procedo subito.”

• Di fronte a un cambio IBAN: “Le modifiche ai dati di pagamento passano solo dal processo standard e dalla verifica. In assenza, il pagamento non parte.”

Prevenire anziché curare

Il deepfake-phishing non sfrutta vulnerabilità tecnologiche, ma manipola processi e persone. La combinazione di Threat Intelligence mirata, policy semplici e disciplina operativa è oggi la misura più efficace per ridurre in modo significativo il rischio di frodi finanziarie, anche quando dall’altra parte dello schermo c’è il volto – o la voce – del CEO.

Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO

Leggi anche

• Maxi-sequestro di criptovalute in Italia tra chain-hopping e identità false
• Recupero da attacco ransomware: analisi, risposta e ripristino totale
• Spoofing via email e telefonico: boom di casi in Italia (Luglio 2025)