In questo articolo riporterò le truffe più ricorrenti negli ultimi anni ed altre che si diffonderanno sempre più, grazie all'AI. Alcuni strumenti open source di ingegneria sociale sono stati adattati da truffatori per operazioni su larga scala: ad esempio kit come Social‑Engineer Toolkit (SET) o GoPhish vengono usati non più solo da tester ma anche in attacchi reali. Si stanno inoltre diffondendo agenti AI autonomi (multi-turn) che conducono chiamate simulate di truffa, adattandosi alle risposte della vittima rendono le truffe più sofisticate, con dialoghi lunghi e convincenti. Anche i motori di ricerca e gli assistenti AI possono essere ingannati: ad esempio un risultato "overview" mostrava un numero di servizio clienti falso, e la vittima ha chiamato quel numero pensando fosse legittimo. L’uso di volti generati da GAN (reti antagoniste generative) permette di creare profili social credibili senza usare volti reali, rendendo difficile distinguere profili autentici da profili falsi. Un luogo dove possono essere recuperate informazioni importanti è lo scontrino ATM dopo un prelievo o pagamento, i truffatori raccolgono quei dati per avviare frodi o phishing. Lo scontrino, apparentemente innocuo, può dare indizi utili ai truffatori per attaccare conti correnti o effettuare richieste fraudolente.
AUDIO DEEPFAKE
Viene clonata la voce di un familiare / parente / persona fidata usando pochi secondi di audio e chiedono soldi urgentemente con scenari di emergenza (incidenti, arresti, cauzioni).
VIDEO DEEPFAKE
Video o immagini generate via AI che mostrano persone reali (persone note, celebrità, ufficiali, politici, ecc.) in contesti falsi per scopi di truffa o disinformazione. Molto usato in ambito Trading e investimenti.
SYNTHETIC IDENTITY FRAUD
Creazione di identità false combinando dati rubati + dati generati via AI (nomi, foto, documenti falsificati). Vengono usate per aprire conti, chiedere prestiti, fare frodi finanziarie.
SITI WEB FALSI
Truffatori usano strumenti di generative AI per costruire siti web falsi molto realistici (compresi testi, immagini, layout, recensioni). Lo scopo è rubare credenziali, dati bancari, fare phishing.
PHISHING AUTOMATIZZATO TRAMITE AI
Email o messaggi personalizzati (usando dati raccolti da social), generati da modelli linguistici per essere più credibili e difficili da distinguere da comunicazioni reali.
PROFILI AI GUIDATI DA BOT SUI SOCIAL
Profili social che usano volti generati (GAN, AI), artificiali, commenti automatizzati, interazioni realistiche per costruire fiducia e poi truffare utenti (spam, contatti personali, campagne coordinate).
ROMANCE SCAM POTENZIATI DA AI
Gli attaccanti usano profili falsi con immagini generate (facce credibili), messaggi personalizzati usando AI, video / voce / videochiamate deepfake per costruire relazioni emotive e convincere la vittima a inviare soldi. Vengono ingannati uomini di tutte le età e soprattutto donne single di 40-50 anni.
INVESTIMENTI
Promettono rendimenti elevati, piattaforme di trading "AI-powered" che sono false, o strumenti automatici / bot di arbitraggio che in realtà sono truffe. Una volta inviati i soldi, le vittime vengono convinte con false prove di profitto ad inviare altri soldi. Il sito è invece completamente falso con un contatore fake.
AUTHORIZED PUSH PAYMENTS/APP FRAUD
Truffatori persuadono le vittime (con social engineering) a fare bonifici o pagamenti volontari in tempo reale verso conti fraudolenti. Non è un prelievo automatico ma la vittima autorizza il pagamento convinta che sia legittimo qualsiasi sia il motivo.
TRUFFE CON ACCUSE PENALI
Persone che si fingono autorità (polizia, avvocati, forze dell’ordine) tramite video, messaggi o chiamate digitali, accusano la vittima di crimini o illeciti, usando pressione per ottenere soldi o informazioni per evitare sanzioni. Inoltre le autorità italiane hanno segnalato casi in cui vittime ricevono comunicazioni che sembrano provenire da tribunali, avvocati o enti giudiziari, con inviti "ufficiali" a presentarsi o pagare sanzioni. È un tipo di frode che sfrutta l’autorità percepita per intimidire cittadini ignari.
PHISHING CON DATI SANITARI
Sono state avviate campagne di phishing che usano dati sanitari delle vittime (prestazioni sanitarie, indirizzo, codice fiscale etc.). Si tratta di una violazione della privacy + frode, usando dati sensibili per rendere i messaggi molto credibili.
FINTI CALL CENTER: LUCE, GAS, ACQUA
L'operatore si presenta come Enel, Eni Plenitude, Hera, Acea, etc e dice che stanno aggiornando le tariffe, adeguando il contratto, o che serve confermare i dati per non perdere il bonus. Vengono chiesti dati personali, codice POD/PDR, IBAN, o addirittura una registrazione vocale di conferma (che poi usano per attivare contratti non richiesti). Spesso usano tecniche di spoofing (numero che appare come Enel Energia o un numero locale). Alcuni call center sono outsourcer falsi o irregolari che registrano la chiamata e la inviano a fornitori veri per incassare la commissione. Voci sintetiche di AI sono usate per automatizzare le chiamate e sembrare più professionali. Vengono citati anche bonus sociali e allacci green. Va tenuto conto che gli operatori reali non chiedono mai dati sensibili per telefono. Per bloccare numeri commerciali: Registro Pubblico Delle Opposizioni.
WANGIRI SCAM (TRUFFA SQUILLO)
Wangiri dal giapponese vuol dire "squillo". Si riceve una chiamata che squilla una volta e cade subito.
Se richiami, paghi tariffe internazionali o premium (specialmente se inizia con +216, +252, +222, ecc.).
Ogni richiamata accredita soldi al truffatore tramite operatori compiacenti o circuiti internazionali.
Non richiamare mai numeri sconosciuti internazionali o con prefissi strani.
VISHING BANCARIO
Ti chiama qualcuno che si finge del tuo istituto di credito (Ufficio antifrode Intesa / Poste / Unicredit).
Dicono: "Abbiamo notato un tentativo di accesso fraudolento" o "Stiamo verificando il suo conto". Ti chiedono di comunicare codici OTP, numeri di carta, credenziali SPID, etc. A volte appaiono col numero reale della banca (spoofing del Caller ID).
Tramite variante AI, possono clonare la voce di un vero impiegato bancario (registrata da video online o segreterie telefoniche). Ricorda che le banche non chiamano mai per chiedere codici OTP o credenziali.
TRUFFE CHIAMATA TECNICO
Si presentano come tecnici TIM, Vodafone, WindTre, etc. Dicono che "deve essere sostituito il modem", "va aggiornato il contratto" o "ci sono problemi sulla linea". Ti fanno scaricare app di controllo remoto o chiedono dati di pagamento per la spedizione. L'obiettivo è il furto di dati o attivazione di nuovi contratti a tua insaputa. I veri operatori ti avvisano via email o SMS ufficiale, mai via chiamata improvvisa. Non installare nulla o fornire codici.
CALLBOT/ROBOCALL
Sistemi AI che generano chiamate e dialoghi naturali, leggendo script realistici.
Possono: simulare sondaggi, offerte commerciali, persino voci di parenti o colleghi, usare intonazioni e pause umane per ingannare e reagire dinamicamente ("non ho capito, può ripetere il codice?").
Fai attenzione a rispondere a domande tipo "mi sente?" (perché la risposta "sì" può essere registrata e riutilizzata come consenso).
TRUFFE CORRIERE
Ti chiamano fingendosi corriere o dogana, dicendo che serve pagare tasse o spese per consegnare un pacco. Mandano link via SMS o WhatsApp ma si tratta di una pagina di phishing o app malevola.
Nessun corriere serio chiede pagamenti via link WhatsApp o SMS. Controlla il tracking ufficiale sul sito del corriere.
FINTO NUMERO DI EMERGENZA
Chiamano dicendo di essere Carabinieri o Polizia, segnalando che "un parente è nei guai" o "è avvenuto un incidente". Tentano di farti inviare soldi, cauzioni o documenti. Variante moderna: usano voce clonata del parente. Nessuna forza dell’ordine chiede denaro o dati via telefono.
