Truffe AI, l’allarme corre online

Per anni la grammatica della truffa online è stata abbastanza riconoscibile: email piene di errori, domini improbabili, immagini sgranate, operatori telefonici poco credibili. Quel perimetro di sicurezza psicologica si sta restringendo. Con chatbot generativi, tool di image generation e software di voice cloning a basso costo, i criminali possono oggi produrre testi puliti, landing page credibili, annunci pubblicitari coerenti con un brand e persino identità sintetiche difficili da smascherare al primo contatto. Il problema non è più soltanto tecnico. È cognitivo: l’utente medio continua a cercare segnali di falsità in un ecosistema in cui quei segnali sono stati automatizzati via software e rimossi dal funnel della truffa.

Il caso dei negozi clone

Uno dei vettori più aggressivi riguarda gli store fasulli che imitano marchi noti. Il meccanismo è semplice: un annuncio social propone un prodotto molto scontato, l’utente atterra su un sito che sembra un outlet ufficiale, aggiunge il prodotto al carrello e solo alla fase di pagamento qualcosa può far scattare il dubbio. Di recente c’è stato il caso di un falso sito legato a Hoka, promosso tramite un’inserzione su TikTok con sneakers scontate dell’80%. Una ricerca successiva aveva rivelato segnalazioni di utenti truffati e un warning pubblicato dal brand contro falsi web store che ne sfruttavano l’identità.

Per brand direct-to-consumer il rischio è doppio. Da un lato c’è la perdita economica dei consumatori. Dall’altro c’è l’erosione della fiducia nel marchio, anche quando l’azienda è vittima e non responsabile dell’attacco. Un sito clone ben costruito può replicare visual identity, tone of voice, immagini prodotto, copy promozionale, dominio quasi identico e persino pagine di customer care generate con AI. In termini di cyber risk, non è più solo phishing: è brand impersonation industrializzata.

A me è capitato di segnalare almeno un paio di volte a TikTok delle pubblicità fraudolente di un sito che aveva clonato alla perfezione quello di Thomann, il celebre store di strumenti musicali. Dopo la mia segnalazione le pubblicità sono state fermate e TikTok mi ha comunicato che si trattava effettivamente di una frode. Dopo un paio di giorni le pubblicità hanno ripreso a girare, sempre con le stesse offerte imperdibili. Seconda segnalazione, secondo blocco e seconda comunicazione di ringraziamento dalla piattaforma. Dopo pochissimo, rivedo nuovamente le stesse pubblicità fraudolente e così smetto di segnalare…

Le piattaforme sotto pressione

La scala del fenomeno sta aumentando la pressione regolatoria e reputazionale sulle piattaforme social. Il Federal Bureau of Investigation ha riportato quasi 21 miliardi di dollari sottratti ai cittadini americani nell’ultimo anno, con circa 893 milioni di dollari collegati a frodi abilitate dall’intelligenza artificiale. Nello stesso contesto si collocano azioni legali e reclami contro Meta, accusata da soggetti pubblici e associazioni di tutela dei consumatori di non fare abbastanza contro gli annunci fraudolenti.

Meta ha risposto dichiarando di aver rimosso nell’ultimo anno 159 milioni di scam ads e quasi 11 milioni di account Facebook e Instagram associati a produttori noti di truffe. TikTok, dal canto suo, ha indicato che nel quarto trimestre 2025 il 97% dei contenuti spam rimossi per violazione delle policy è stato intercettato prima della segnalazione degli utenti. Sono numeri rilevanti, ma raccontano anche la dimensione del problema: la detection automatizzata cresce perché cresce la produzione automatizzata di frodi.

Impersonatori sintetici e truffe relazionali

La parte più delicata riguarda l’impersonificazione. L’AI consente di simulare volti, voci e movimenti in videochiamata, trasformando vecchie truffe relazionali in attacchi molto più personalizzati. The New York Times cita Andrew Yoon, ricercatore di CivAI, secondo cui oggi è semplice ed economico effettuare una videochiamata real-time con sostituzione del corpo e modifica della voce in modo realistico. Questo abilita scenari che vanno dal falso recruiter al finto familiare in emergenza, fino alla romance scam costruita su misura.

La leva psicologica è sempre la stessa: urgenza, familiarità, pressione emotiva. La differenza è che ora il criminale può presentarsi con un volto riconoscibile o con una voce plausibile. Numeri di telefono spoofati, dati personali reperibili online e modelli generativi abbassano la barriera d’ingresso. Il consiglio è abbastanza low-tech: ovvero definire con i familiari, soprattutto con le persone meno esperte di tecnologia, una parola di sicurezza da usare quando una richiesta di denaro o aiuto arriva in circostanze anomale.

Celebrità false, fiducia vera

Un altro filone riguarda i deepfake di personaggi pubblici. Video sintetici di chef, imprenditori e manager vengono usati per spingere giveaway inesistenti, prodotti contraffatti o investimenti fraudolenti. Nel documento sono citati deepfake di Gordon Ramsay collegati a una presunta promozione di cookware e video sintetici di Richard Branson usati per attirare utenti verso falsi investimenti. Il punto operativo è chiaro: la spunta blu non basta più come proxy di autenticità. La verifica deve passare da fonti ufficiali, domini proprietari, canali corporate e comunicazioni verificabili.

La difesa cambia: non cercare il falso, verifica il vero

La frase più utile arriva da Mark Beare, general manager di Malwarebytes: invece di cercare gli indicatori di ciò che è falso, bisogna verificare ciò che è autentico. È un cambio di paradigma importante per aziende, utenti e team di sicurezza. La threat intelligence deve spostarsi dall’analisi dei soli IOC, indicator of compromise, a una validazione continua di domini, ads, creatività, profili social e customer journey. Per i brand significa monitorare social ads, marketplace, typo-domain, pagine clone e conversazioni Reddit. Per gli utenti significa cercare il dominio ufficiale, controllare recensioni indipendenti, diffidare degli sconti fuori mercato e usare strumenti di scam detection quando il dubbio resta.

Una nuova opportunità per la cybersecurity

Per l’ecosistema startup si apre uno spazio competitivo evidente: brand protection automatizzata, AI fraud detection, identity verification, synthetic media detection, browser security, wallet reputation, ad monitoring e customer education. La domanda non arriva solo dalle big tech. Arriva da retailer, fintech, creator economy, e-commerce verticali e piattaforme SaaS che non possono permettersi che il proprio marchio venga usato come esca. La prossima fase della sicurezza online passerà meno dal riconoscere l’errore grossolano e più dal costruire fiducia verificabile, machine-readable e distribuita lungo tutto il percorso digitale.