Deepfake e frodi aziendali: la certificazione alla fonte come difesa
Le aziende operano dando per scontata l'autenticità delle comunicazioni interne: email dal CEO, videochiamate con il CFO, messaggi vocali tra colleghi. Per decenni questa fiducia implicita ha funzionato. Oggi è una falla. I deepfake applicati alle frodi aziendali hanno registrato un aumento del 300% nel 2025, secondo il report State of Cybersecurity Recap 2025 di Trend Micro. Replicare la voce e il volto di un dirigente è diventato talmente preciso che l'occhio umano non coglie più la differenza.
Come può proteggersi un'azienda, se anche gli esperti faticano a distinguere una comunicazione autentica da una contraffazione? Non rincorrendo ogni singolo deepfake con strumenti di rilevamento, ma facendo in modo che ogni comunicazione critica nasca già certificata e verificabile. Dal cercare il falso a garantire il vero: è il nodo centrale del trust gap digitale, quel divario che si allarga tra la facilità di falsificare un dato e la capacità di verificarlo.
Questo approfondimento fa parte della guida "Trust gap digitale: cos'è il trust layer per i dati online".
Come i deepfake stanno cambiando le frodi aziendali
Le frodi basate su deepfake non sono più casi isolati da convegno: sono operazioni su scala industriale, costruite sulla fiducia che esiste all'interno delle organizzazioni. Negli Stati Uniti le perdite aziendali da frodi deepfake hanno toccato 1,1 miliardi di dollari nel 2025, e Deloitte stima che il danno globale da AI generativa raggiungerà i 40 miliardi entro il 2027 (CAGR 32%). L'Italia non fa eccezione: Trend Micro riporta che il 67% degli attacchi cyber nel 2025 ha colpito il settore privato, con phishing e social engineering in crescita del 66%.
CEO fraud e voice cloning: i numeri del 2025
La "truffa del CEO" ha trovato nei deepfake uno strumento di precisione che fino a pochi anni fa non esisteva. Nella pratica, la CEO fraud prevede la creazione di audio o video sintetici che riproducono voce e aspetto di un dirigente per autorizzare bonifici o sottrarre informazioni riservate. Il solo voice cloning è cresciuto del 680% nell'ultimo anno.
Il caso che ha fatto il giro dei media risale a febbraio 2024. Un dipendente dell'ufficio finanziario di Arup a Hong Kong ha eseguito 15 bonifici per 25,6 milioni di dollari dopo una videochiamata in cui ogni partecipante, compreso il presunto CFO, era un deepfake generato in tempo reale. Non era un attacco approssimativo: chi stava dall'altra parte dello schermo replicava volti, voci e abitudini di colleghi veri. Già nel 2019, un'azienda energetica britannica aveva perso 220.000 euro per colpa di un voice clone del proprio CEO, abbastanza credibile da superare i controlli interni.
Dalle email al video: l'escalation dei canali di attacco
Le frodi BEC (Business Email Compromise) tradizionali si giocavano sulle email contraffatte. L'arsenale oggi è più ampio. Il 45% delle truffe passa da piattaforme di messaggistica e social media. I canali audio e video portano un grado di credibilità che le email non hanno mai raggiunto: un vocale su WhatsApp con la voce del direttore finanziario, una call su Teams con il volto del CEO. Sono attacchi alla portata di chiunque abbia qualche centinaio di euro e accesso ai servizi di generazione, la cui qualità sale ad ogni nuova versione dei modelli.
Perché la detection non basta a proteggere le imprese
Il riflesso più diffuso nel mercato della cybersecurity è investire in strumenti di rilevamento dei deepfake. Ma questa scelta ha limiti concreti che la rendono insufficiente come unica difesa.
I limiti tecnici del rilevamento
I sistemi di detection cercano artefatti visivi, anomalie audio, inconsistenze nei metadati. L'obiettivo è classificare un contenuto come autentico o sintetico. Il punto è che quegli artefatti si riducono ad ogni iterazione tecnologica. Secondo iProov, solo lo 0,1% delle persone riesce a identificare un deepfake ben fatto. I tool automatici vanno meglio, ma inseguono i generatori senza mai raggiungerli davvero: ogni miglioramento nella detection produce un adattamento dall'altra parte.
| Criterio | Detection | Certificazione alla fonte |
|---|---|---|
| Momento di intervento | Dopo la ricezione del contenuto | Al momento della creazione |
| Affidabilità nel tempo | Degrada con il miglioramento dei generatori | Stabile: indipendente dalla qualità del deepfake |
| Valore legale | Perizia tecnica, contestabile | Prova con marca temporale e firma digitale |
| Falsi positivi | Frequenti: contenuti legittimi classificati come fake | Assenti: il contenuto è autentico per definizione |
| Scalabilità | Richiede analisi per ogni singolo contenuto | Integrata nel workflow aziendale |
Il problema del tempo: reagire dopo il danno
La detection interviene dopo. Dopo che il contenuto fraudolento è stato prodotto, e quasi sempre dopo che ha già raggiunto il destinatario. Nel caso Arup, la videochiamata deepfake è durata esattamente il tempo necessario ad autorizzare i trasferimenti. Nessun sistema di rilevamento avrebbe potuto fare qualcosa in tempo reale durante quella call. La sicurezza basata sulla detection diventa una rincorsa perpetua, e il vantaggio temporale resta sempre dalla parte di chi attacca.
Certificare alla fonte: l'alternativa alla rincorsa del falso
La certificazione alla fonte ribalta la logica: invece di analizzare ogni comunicazione ricevuta per capire se è falsa, si fa in modo che ogni comunicazione critica prodotta dall'azienda sia verificabile fin dall'origine. Acquisizione forense e certificazione con valore legale costruiscono un trust layer per i dati aziendali che rende i deepfake irrilevanti per le comunicazioni certificate.
Come funziona la certificazione delle comunicazioni aziendali
TrueScreen è la Data Authenticity Platform che protegge l'autenticità dei dati aziendali con un processo in due fasi. La prima è l'acquisizione forense: il dato, che sia un'email, un documento, un file audio o video, viene catturato all'origine con una metodologia che ne fissa l'integrità dal primo istante. La seconda fase aggiunge firma digitale e marca temporale, rendendo il contenuto immodificabile e tracciabile. Con la certificazione delle email aziendali e la piattaforma di gestione, ogni comunicazione acquisisce valore probatorio. La domanda "è un deepfake?" diventa superflua: le comunicazioni autentiche sono certificate e distinguibili.
È la logica della digital provenance applicata alla sicurezza aziendale: tracciare provenienza e storia di un dato digitale, anziché affidarsi alla capacità di smascherare le contraffazioni.
NIS2 e AI Act: il quadro normativo che spinge verso la certificazione
Il quadro regolatorio europeo converge verso l'obbligo di garantire l'integrità dei dati aziendali. La Direttiva NIS2 (recepita in Italia con il D.Lgs. 138/2024) impone alle aziende classificate come essenziali o importanti misure concrete di gestione del rischio informatico, compresa la protezione dell'integrità delle comunicazioni. L'AI Act (Regolamento UE 2024/1689) introduce obblighi di trasparenza per i contenuti generati da sistemi AI, deepfake inclusi. eIDAS 2.0 fornisce il framework per i servizi fiduciari (firma digitale, marca temporale) su cui poggia la certificazione alla fonte. Chi dispone già di un sistema di certificazione conforme a NIS2 non deve rincorrere la compliance a posteriori: è parte del processo operativo.
