Frodi deepfake fuori controllo: perché oggi sono alla portata di chiunque

Le frodi basate su tecnologia deepfake hanno raggiunto un livello di "scala industriale", secondo quanto rivelato da un'analisi pubblicata dall'AI Incident Database. Significa che gli strumenti per creare truffe personalizzate e realistiche, che includono video deepfake di giornalisti, CEO o figure politiche, non sono più riservati a esperti di tecnologia ma sono diventati economici e facili da utilizzare su larga scala.

L'analisi dell'AI Incident Database testimonia quindi che le barriere d'ingresso per produrre deepfake sono praticamente scomparse, dal momento che le capacità dei sistemi AI hanno raggiunto un livello tale per cui i contenuti falsi possono essere prodotti da chiunque. Ancor più preoccupante è il fatto che l'evoluzione dei modelli di IA sta avvenendo con una rapidità superiore a quanto previsto dai ricercatori di sicurezza, ponendo ancor più pressione sull'etenra battaglia tra attaccanti e difensori. 

Quanto riscontrato dall'AI Incident Database conferma il trend già osservato nel passato recente: dal 2017 al 2022 i casi di deepfake registrati sono stati complessivamente 22. Nel 2023 il fenomeno ha mostrato una prima accelerazione significativa, con 42 casi, quasi il doppio rispetto al periodo precedente. Nel 2024 l’aumento è diventato esponenziale: i casi sono cresciuti del 257%, raggiungendo quota 150. La tendenza si è ulteriormente aggravata nel 2025: nel solo primo trimestre si sono già contati 179 casi, il 19% in più rispetto all’intero 2024.

Casi emblematici di frode aziendale

Uno dei casi più clamorosi riguarda un direttore finanziario che è stato ingannato durante una videochiamata Zoom apparentemente con diversi dirigenti senior della sua azienda. I deepfake presentavano movimenti facciali sincronizzati, voci realistiche corrispondenti ai pattern vocali noti di ciascun dirigente e linguaggio del corpo naturale. Il direttore finanziario, convinto della legittimità della richiesta, ha autorizzato un trasferimento di circa 24 milioni di euro.

Un altro episodio significativo coinvolge il CEO di una startup specializzata in sicurezza IA, che ha quasi assunto un candidato completamente sintetico durante un colloquio video. L'episodio, definito "modello Arup" dopo un attacco simile, dimostra l'efficacia dei media sintetici nell'ambito dello spionaggio aziendale. Il CEO ha affermato che la sua principale esitazione riguardava l'imbarazzo sociale, non il sospetto che si trattasse di un essere umano sintetico.

La clonazione vocale è emersa come il principale vettore d'attacco nelle frodi deepfake. Secondo gli esperti, sono sufficienti pochi secondi di audio per generare un clone vocale convincente, completo di intonazione naturale, ritmo, enfasi, emozione, pause e rumore respiratorio. Alcuni grandi rivenditori riferiscono di ricevere oltre 1.000 chiamate truffaldine generate dall'IA al giorno.

Deepfake pornografici e abusi

Oltre alle frodi finanziarie, i deepfake vengono utilizzati massicciamente per creare contenuti pornografici non consensuali. Uno studio della società italiana di cybersecurity DeepTrace del 2019 aveva già rilevato che il 96% dei video deepfake online erano pornografici. Un altro studio del 2023 condotto dalla società statunitense Home Security Heroes ha riportato che il porno deepfake costituisce il 98% di tutti i video deepfake online, con il 99% di essi che prende di mira le donne.

Secondo l'International AI Safety Report 2026, il 96% dei video deepfake online sono pornografici, e il 15% degli adulti britannici riferisce di aver visto immagini pornografiche deepfake. Il rapporto del National Center for Missing and Exploited Children ha registrato oltre 67.000 casi di materiale di abuso sessuale su minori generato dall'IA nel 2024, un aumento drammatico rispetto ai 4.700 casi del 2023, pari a un incremento del 1.325%.

Nuove leggi nel Regno Unito

Il Regno Unito ha recentemente introdotto nuove leggi per contrastare la creazione di deepfake. A febbraio 2026, è entrata in vigore una normativa che rende reato penale la creazione di immagini intime deepfake senza consenso. Questa legislazione colma una lacuna nella legge esistente, prendendo di mira chi produce o commissiona immagini false sessualmente esplicite di qualcuno senza il suo consenso, non solo chi le distribuisce.

La nuova legge stabilisce che se qualcuno crea un deepfake sessualmente esplicito, anche senza l'intenzione di condividerlo ma solo per causare allarme, umiliazione o disagio alla vittima, sta commettendo un reato penale. Chi viene condannato per questo crimine può affrontare un procedimento penale e una multa illimitata, e se l'immagine viene poi condivisa più ampiamente, i trasgressori potrebbero essere mandati in prigione. Il governo britannico sta inoltre chiedendo agli esperti di contribuire a sviluppare un piano per affrontare la crescente questione dei deepfake.

Prospettive future e difese

I deepfake si stanno inoltre spostando verso la sintesi in tempo reale, con la capacità di produrre video che assomigliano strettamente alle sfumature dell'aspetto umano, rendendo più facile eludere i sistemi di rilevamento. La frontiera si sta spostando dal realismo visivo statico alla coerenza temporale e comportamentale, con modelli che generano contenuti dal vivo o quasi dal vivo piuttosto che clip pre-renderizzate.

La spesa per la tecnologia di rilevamento dei deepfake dovrebbe crescere del 40% nel 2026, con l'adozione che si estende a vari settori e casi d'uso e con una linea di difesa che si sposterà tendenzialmente dal giudizio umano a protezioni a livello di infrastruttura, inclusa la rilevazione della provenienza sicura come i media firmati crittograficamente, e strumenti forensi multimodali. Il mercato globale della tecnologia deepfake dovrebbe raggiungere i 32,23 miliardi di dollari entro la fine del 2032, con un tasso di crescita annuo composto del 27,7% dal 2025 al 2032.