Calcagno.Consulting
Blog
Phishing & AI23 maggio 202614 min di lettura

Phishing nell'era dell'AI: come funziona oggi, casi reali e come riconoscerlo

Voice cloning, deepfake video e LLM dark: i quattro vettori del phishing AI nel 2025. Dal caso Crosetto al fraud da $25M di Arup — e i segnali concreti per riconoscere un attacco prima che il danno avvenga.

In sintesi

Oltre l'80% dell'attività di phishing osservata nel 2025 è AI-assistita (ENISA). I quattro vettori principali — email AI-generato, voice cloning, deepfake video, Phishing-as-a-Service — non sono evoluzioni incrementali ma un cambio di scala, perché campagne che fino al 2022 richiedevano team specializzati oggi costano €60/mese di abbonamento. La difesa più efficace rimane la verifica out-of-band: non richiede tecnologia, richiede disciplina.

L'episodio italiano che ha rivelato un cambio di scala

Febbraio 2025. Alcuni imprenditori italiani di primo piano ricevono telefonate da quello che sembra essere il Ministro della Difesa Guido Crosetto. La voce è perfetta — inflessione, tono, modi di dire. Il finto Ministro chiede trasferimenti urgenti per pagare presunti riscatti di giornalisti rapiti, con la promessa di rimborso successivo da parte della Banca d'Italia.

Almeno una delle persone contattate trasferisce circa un milione di euro su un conto estero. I fondi vengono successivamente recuperati dalle forze dell'ordine, ma la dinamica è documentata.

La voce era stata clonata con strumenti di intelligenza artificiale a partire da interviste pubbliche del Ministro disponibili online. Secondo il report McAfee “The Artificial Imposter”, 3 secondi di audio sono sufficienti per generare un clone vocale con l'85% di accuratezza.

Il caso Crosetto non è un evento isolato di alto profilo: è il sintomo italiano di un cambio strutturale che riguarda anche le PMI. L'AI generativa non ha solo migliorato il phishing — ne ha cambiato il modello operativo. Questo articolo analizza i quattro vettori principali con cui l'intelligenza artificiale viene oggi utilizzata negli attacchi di phishing, con casi documentati, esempi pratici e — soprattutto — i segnali concreti per riconoscere un attacco prima che il danno avvenga.

Cosa è cambiato strutturalmente

Fino al 2022 il phishing era un'industria semi-artigianale. Un attaccante scriveva manualmente un'email, la traduceva — spesso male — con strumenti di traduzione generici, la spediva a liste di indirizzi comprate da broker. Gli errori grammaticali e le formulazioni innaturali erano la prima linea di difesa del destinatario.

Dal 2023 l'AI generativa ha cambiato tre cose simultaneamente:

Personalizzazione su larga scala. Un Large Language Model, alimentato con dati di scraping di LinkedIn e siti aziendali, può generare in dieci minuti centinaia di email diverse, ciascuna riferita al destinatario, al suo ruolo, ai suoi progetti. La personalizzazione che fino al 2022 era prerogativa di campagne mirate ad altissimo budget è oggi disponibile su scala industriale.

Localizzazione perfetta. L'italiano scritto da un LLM moderno è impeccabile, indistinguibile dalla comunicazione di un madrelingua professionista. I segnali di traduzione automatica sono scomparsi.

Multimodalità. Testo, voce e video sintetici diventano combinabili nello stesso attacco. Un'email AI può chiedere conferma via chiamata, dove una voce sintetica del CEO conferma la richiesta, eventualmente seguita da una videocall con deepfake video.

I numeri confermano il cambio di scala:

  • ENISA Threat Landscape 2025: oltre l'80% dell'attività osservata di phishing e social engineering è AI-assistita
  • KnowBe4 Phishing Threat Report 2025: l'82,6% delle email phishing rilevate tra settembre 2024 e febbraio 2025 contiene elementi generati con AI, +53,5% sull'anno precedente
  • Osservatorio Cybersecurity Exprivia: 862 incidenti cyber rilevati nel solo Q1 2025 in Italia, +54% rispetto allo stesso periodo del 2024
  • Anti-Phishing Working Group (APWG): 4,8 milioni di attacchi nel 2024, il livello più alto registrato dal 2003
  • Pindrop Voice Intelligence Report 2025: aumento del 1.300% degli attacchi audio deepfake nel 2024, con un'ulteriore crescita del 162% prevista nel 2025

Non è un'evoluzione incrementale: è un cambio di scala. Quello che fino al 2022 richiedeva un team specializzato — selezione del target, ricerca, scrittura personalizzata, traduzione professionale — oggi è alla portata di un singolo operatore con €60 al mese di abbonamento a un servizio underground. Vediamo nel dettaglio i quattro vettori principali.

Vettore 1 — Email phishing AI-generato

Cosa è e come funziona

La forma più diffusa di phishing AI nel 2025 sono le email generate da Large Language Models — alcuni commerciali con jailbreak applicato, altri sviluppati o specializzati esplicitamente per l'attività criminale. Il workflow standard di una campagna si articola in quattro fasi:

  1. Reconnaissance automatizzata. Un agente AI raccoglie informazioni sul target tramite scraping di LinkedIn, siti aziendali, comunicati stampa, profili social. Per un'azienda di 200 dipendenti, questa fase richiede ore, non settimane.
  2. Generation. L'LLM riceve un prompt strutturato che include il contesto raccolto (nome del CEO, settore, fornitori principali, progetti pubblicamente menzionati), il tono target (“comunicazione interna formale”), e l'obiettivo dell'attacco.
  3. Personalization layer. Ogni email è leggermente diversa: stesso obiettivo, ma costruzioni e dettagli variabili per evitare il rilevamento da parte dei filtri antispam basati su signature.
  4. Distribution. Invio tramite SMTP compromesso, servizi anonimi o domini look-alike registrati pochi giorni prima.

Secondo l'analisi di Brightside AI (2025), il phishing generato da LLM ottiene il 24% in più di successo rispetto al phishing scritto da operatori umani professionisti. Il motivo principale: l'AI è più paziente nella personalizzazione e meno suscettibile a errori distintivi.

Confronto pratico: phishing tradizionale vs phishing AI

I due esempi che seguono sono stati creati ad hoc a fini illustrativi. Nomi, IBAN e dettagli sono inventati. Servono a mostrare la differenza qualitativa tra il phishing manuale degli anni 2018–2020 e quello AI-generato del 2025.

Phishing tradizionale · 2018–2020
M. Rossi <ceo.rossi@spaa-srl.com>
A: marco.bianchi@spa-srl.com
Bonifico urgentne
Caro, Devo eseguire urgente trasferimento di 18,500 EUR per nostro cliente cinese. Necessito tuo aiuto per processare oggi. Allegato il dettagli. Per cortesia confermi al più presto. Saluti, M. Rossi CEO
Phishing AI-generato · 2025
Marco Rossi <m.rossi@spa-srl.com>
A: marco.bianchi@spa-srl.com
Verifica importo fornitore — pagamento Bertelli SpA
Ciao Marco, come anticipato in CDA giovedì, dobbiamo accelerare il pagamento Bertelli per chiudere la fornitura del lotto Q2 entro questa settimana — Carlo mi ha confermato ieri che il loro CFO sta aspettando. Ti giro qui sotto le coordinate del bonifico (€18.500 — già approvato da Marina in revisione fornitori). Procedi pure direttamente con la nostra banca senza passare dal flusso standard, così guadagniamo i tre giorni che ci servono per la consegna. IBAN: IT88 X 0000 0000 0000 0000 0000 Ti chiedo solo di non rimbalzare la mail a Marina — è in ferie fino a martedì e abbiamo concordato di gestire questa direttamente. Grazie, Marco

Esempi creati a fini illustrativi. Tutti i nomi, indirizzi e IBAN sono inventati.

Le differenze sono evidenti:

  • Il dominio del mittente nel primo esempio è “spaa-srl.com” — typosquatting visibile. Nel secondo è il dominio reale, perché l'attacco AI moderno spesso passa da account legittimi compromessi.
  • L'italiano del secondo esempio è grammaticalmente perfetto.
  • Il contesto è verosimile: riunione CDA, fornitore reale del settore, ruoli specifici menzionati con familiarità.
  • Il tono è colloquiale ma professionale, indistinguibile da una comunicazione interna.
  • La richiesta di scavalcare il flusso standard è inserita con motivazione plausibile (tempistiche di consegna).
  • La richiesta di non rimbalzare l'email è la classica tecnica di isolamento del destinatario — chi controllerebbe normalmente la richiesta è “in ferie”.

Nota importante: in un attacco reale, il modello AI userebbe nomi, fornitori e progetti raccolti durante la fase di reconnaissance — non riferimenti generici come quelli dell'esempio. La verosimiglianza sarebbe ancora superiore.

Vettore 2 — Voice cloning e vishing

Cosa è e come funziona

Il vishing (voice phishing) è la versione telefonica del phishing. Con l'AI, oggi può integrare una voce sintetica indistinguibile da quella di una persona reale conosciuta dal target — un dirigente aziendale, un membro della famiglia, un'autorità pubblica.

La clonazione vocale moderna richiede pochissimo materiale di input. L'attaccante raccoglie campioni audio della voce target da fonti pubbliche: interviste su YouTube, podcast, video corporate sul sito aziendale, talvolta vocali WhatsApp diffusi inavvertitamente. Strumenti come ElevenLabs, Resemble.ai, Vidnoz AI Voice Changer e Speechify Voice Cloning generano in pochi secondi un modello che riproduce timbro, inflessione e ritmo della voce campione. Il modello viene poi usato per generare audio in tempo reale durante una chiamata, oppure per registrare messaggi vocali precompilati.

Secondo McAfee, 3 secondi di audio bastano per un clone all'85% di accuratezza. Per cloni più convincenti (oltre il 95%), sono sufficienti 30–60 secondi di campione pulito. Il vishing è cresciuto del 442% nel 2025, con frodi stimate complessivamente in 40 miliardi di dollari a livello globale (DeepStrike Vishing Statistics 2025).

Casi documentati

Il caso Crosetto è già stato descritto in apertura. Per inquadrarne la portata: lo stesso schema con voce clonata può essere replicato verso il CEO di una PMI di 30 dipendenti, con uguale efficacia tecnica. La differenza è solo nel target.

A maggio 2025, l'FBI ha emesso un'allerta pubblica (PSA 250515) su una campagna in cui attori malevoli utilizzavano messaggi di testo e vocali generati da AI per impersonare funzionari governativi statunitensi senior, incluso personale di Casa Bianca e membri del Congresso. Il target erano altri funzionari, familiari e contatti personali delle vittime.

Nel Regno Unito, il CEO di WPP Mark Read è stato impersonato con voice cloning su una falsa call Teams che istruiva i dipendenti a trasferire fondi e condividere credenziali.

Q
Il GiornoMilano · Cronaca
La truffa milionaria del falso Crosetto: dal tweet del ministro alle telefonate ai grandi imprenditori fatte con l'AI
“Sembrava tutto vero”, ha dichiarato Massimo Moratti. La ricostruzione del caso italiano più rappresentativo del voice cloning AI: come funzionava lo schema, chi sono state le vittime, perché ha funzionato.

Un secondo caso italiano: l'attacco di settembre 2025

Vale la pena notare che lo stesso Ministro Crosetto è stato bersaglio di un secondo incidente di sicurezza informatica solo sette mesi dopo la truffa vocale. A settembre 2025, il suo account X è stato compromesso e usato per pubblicare richieste fraudolente di donazioni in criptovaluta, sfruttando temi di attualità per aumentare la verosimiglianza. La Procura di Roma ha aperto un'indagine per accesso abusivo a sistema informatico. Si tratta di un vettore diverso (account takeover, non voice cloning) ma del fenomeno più ampio: le figure pubbliche italiane sono target prioritari per chi cerca di sfruttarne l'autorevolezza in operazioni fraudolente — e questo riguarda direttamente la valutazione del rischio per qualunque azienda i cui dirigenti abbiano una presenza pubblica significativa.

A
ANSA.itCronaca · 11 settembre 2025
Articolo ANSA — Attacco hacker al profilo social di Crosetto, aperta un'indagine
Attacco hacker al profilo social di Crosetto, aperta un'indagine
La Procura di Roma indaga sull'attacco all'account X del Ministro della Difesa. Gli hacker hanno pubblicato post fraudolenti con richieste di donazioni in criptovaluta, sfruttando temi di forte impatto emotivo per ottenere visibilità e raccolta fondi illeciti.
11 settembre 2025Leggi su ANSA →

Segnali tipici di una chiamata vishing AI

  • Richiesta di confidenzialità immediata (“non parlarne con nessun altro”)
  • Pressione a non interrompere la chiamata per “verificare con altre persone”
  • Urgenza incongrua rispetto al rapporto reale con il chiamante
  • Pause leggermente innaturali nei momenti di transizione (il modello sta generando il segmento audio successivo)
  • Background acustico assente o “troppo pulito” rispetto a una chiamata reale
  • Richiesta di azioni che esulano dai canali standard

Vettore 3 — Deepfake video e BEC evoluto

Cosa è

Il deepfake video è la sintesi in tempo reale del volto e dei movimenti di una persona target, utilizzata in videoconferenze fraudolente. Combinato con voice cloning, permette di organizzare videocall “live” credibili con dirigenti completamente sintetici.

Il caso Arup: il punto di svolta del Business Email Compromise

A gennaio 2024, la filiale di Hong Kong della multinazionale britannica di ingegneria Arup è stata vittima di una frode da $25,6 milioni (circa 200 milioni di dollari di Hong Kong). Il caso, documentato dalla polizia di Hong Kong nel febbraio 2024 e confermato pubblicamente da Arup nel maggio 2024, ha una dinamica particolarmente istruttiva.

Un dipendente del reparto finanza ha inizialmente ricevuto un'email apparentemente proveniente dal Chief Financial Officer del gruppo, che richiedeva trasferimenti riservati. Il dipendente, diffidente, ha richiesto una videoconferenza di verifica. Durante la call hanno partecipato il “CFO” e altri colleghi senior, tutti sintetici — deepfake video generati in tempo reale, accompagnati da voci clonate dei dirigenti reali.

Rassicurato dal riconoscimento visivo dei colleghi, il dipendente ha eseguito 15 bonifici per un totale di 200 milioni di dollari di Hong Kong, distribuiti su 5 conti bancari, in un singolo giorno. La frode è emersa solo successivamente, quando lo stesso dipendente ha contattato la sede centrale per discutere la “transazione riservata” e ha scoperto che nessuno ne aveva conoscenza. I fondi non sono stati recuperati.

IS
ICT Security MagazineAnalisi · 2024
Truffa deepfake da 25 milioni: come riconoscere i video falsi e proteggere la tua azienda
Analisi tecnica del caso Arup: la dinamica della videoconferenza fraudolenta, i 15 bonifici eseguiti in un solo giorno, e le lezioni operative per le aziende italiane. Include le procedure di verifica raccomandate per le richieste finanziarie ricevute via videocall.
Approfondimento · ItalianoLeggi su ICT Security Magazine →

Per la copertura internazionale originale: CNN Business · Fortune Europe

Il punto chiave. La videocall è stata usata dal dipendente come verifica di sicurezza— l'esatto contrario del suo effetto. Questo è il cambiamento più disorientante introdotto dai deepfake video: controlli che fino a ieri rassicuravano oggi possono ingannare. Il riconoscimento visivo del volto del proprio CEO durante una call non è più, da solo, una prova di identità sufficiente.

Il caso Arup è particolarmente istruttivo per le PMI: l'azienda non era impreparata. Aveva procedure formali, controlli interni, un dipendente che ha avuto il giusto livello di scetticismo. Tutto questo non è bastato di fronte a un attacco multimodale combinato.

Vettore 4 — Phishing-as-a-Service e LLM “dark”

Il quarto vettore è meno visibile ai non addetti ai lavori ma è quello che spiega la diffusione di tutti gli altri. Si tratta di marketplace underground che vendono in abbonamento sia infrastrutture di phishing pronte all'uso (Phishing-as-a-Service, PhaaS), sia LLM jailbreak-ati specializzati nella generazione di contenuti malevoli.

I nomi più documentati

  • WormGPT: il primo arrivato sul mercato, basato originariamente su GPT-J, addestrato su contenuti malevoli. Abbonamento storico circa €60/mese. Cato Networks nel 2025 ha documentato nuove varianti basate su Grok (xAI) e Mixtral (Mistral) — modelli commerciali jailbreak-ati per uso criminale.
  • FraudGPT (noto anche come FraudBot): operativo dal luglio 2023, abbonamento da $200/mese o $1.700/anno. Venduto su marketplace dark come Empire, AlphaBay, World, Versus. L'attore che lo distribuisce dichiara oltre 3.000 vendite confermate.
  • EvilGPT: variante più recente, con marketing distribuito anche su canali Telegram pubblici.

Cosa permettono di fare questi strumenti:

  • Generare email phishing perfettamente localizzate in qualunque lingua
  • Scrivere malware polimorfico — codice che si modifica autonomamente per eludere il rilevamento
  • Costruire messaggi di Business Email Compromise contestualizzati
  • Creare pagine di login clonate di banche, social network, servizi cloud
  • Integrare scraping LinkedIn per personalizzazione automatica dei target

L'implicazione strutturale

Il phishing AI non è più appannaggio di gruppi criminali altamente specializzati. È diventato una commodity. Un singolo operatore, con un abbonamento mensile dal costo equivalente a una connessione fibra, può oggi condurre campagne che fino al 2022 richiedevano team multidisciplinari.

Questa democratizzazione del crimine informatico è il driver principale dei numeri che vedremo crescere nei prossimi anni. Non è la sofisticazione tecnica a crescere — è il numero di operatori che possono permettersela.

Perché le PMI italiane sono un target attraente

I criminali informatici ottimizzano per il rapporto costo/rendimento. Le PMI italiane risultano attraenti per tre motivi convergenti:

Budget difensivo limitato. In media, una PMI italiana di 20–100 dipendenti dedica una frazione marginale del budget IT alla sicurezza. Mancano controlli email avanzati, formazione strutturata del personale, segregazione dei processi di approvazione finanziaria.

Processi di approvazione informali. In molte realtà italiane la richiesta urgente del CEO via WhatsApp non viene messa in dubbio. La cultura della verifica out-of-band è poco diffusa e talvolta vista come segno di sfiducia.

Visibilità pubblica gratuita. Sito aziendale con pagina “Chi siamo”, profili LinkedIn dettagliati di dirigenti e middle management, comunicati stampa pubblici: tutto questo è materiale di addestramento gratuito per le campagne AI di reconnaissance.

I numeri italiani del 2025 confermano:

  • 40% delle email phishing dirette alle aziende italiane è AI-generated (analisi ICT Security Magazine 2025)
  • 57% delle organizzazioni affronta tentativi di frode con frequenza settimanale o quotidiana
  • Brand italiani più impersonati nelle campagne phishing: Agenzia delle Entrate, AgID, Poste Italiane, INPS, principali istituti bancari (Intesa Sanpaolo, Unicredit)

Esiste anche una specializzazione settoriale. I settori più colpiti in Italia nel 2025 sono manifatturiero (per la complessità delle supply chain), sanità privata (per il valore dei dati clinici), e servizi professionali — commercialisti, studi legali, consulenze — per l'alta densità informativa per singolo attacco.

Come riconoscere un attacco AI phishing — segnali concreti

La parte operativa di questo articolo. I segnali che seguono non sono garanzie — una verifica out-of-band rimane sempre necessaria per richieste critiche — ma sono indicatori statisticamente rilevanti.

Segnali nel testo di un'email

SegnaleCosa significa
Tono troppo “perfetto”Italiano grammaticalmente impeccabile ma piatto, senza i piccoli shortcut tipici della comunicazione interna reale (abbreviazioni, riferimenti impliciti, tono colloquiale spontaneo).
Contesto “quasi giusto”Riferimenti a progetti, persone o eventi reali ma con dettagli leggermente sbagliati (ruolo errato, nome del progetto sbagliato di una lettera, riferimento temporale incongruo).
Pressione temporaleUrgenza forzata che non corrisponde alla natura del rapporto reale con il mittente.
Richiesta di scavalcare un workflowBonifico fuori dalla procedura standard, dati richiesti via canale insolito, esplicita richiesta di non coinvolgere altre persone. Quasi sempre indicatore di attacco.

Segnali tecnici nell'header e nel corpo

SegnaleCosa significa
From e To uguali al destinatario, vero destinatario in BCCTecnica per bypassare filtri base.
Allegati con nomi tipo “invoice_urgent_45b.pdf”Pattern di nomenclatura automatica generata da script o LLM.
Email inviata in orari incongrui (3:17 di notte)Automazione, non comportamento umano coerente con il fuso orario del mittente.
Dominio con caratteri simili (rn invece di m, 0 invece di O)Look-alike domain registrato per inganno visivo.
Link testuale diverso dall'URL reale del codice HTMLSempre indicatore di phishing. Hover sul link prima di cliccare per vedere la destinazione vera.

Segnali nelle chiamate (vishing)

SegnaleCosa significa
Richiesta immediata di confidenzialità“Non parlarne con nessuno” è quasi sempre indicatore di attacco — una richiesta legittima non ha motivo di temere la condivisione interna.
Pressione a non riagganciareUna richiesta legittima sopravvive a una verifica.
Pause innaturali nei momenti di transizioneIl modello AI sta generando il prossimo segmento audio.
Background acustico assente o sinteticoLe voci AI sono “troppo pulite” rispetto a una chiamata reale.

La regola d'oro: verifica out-of-band

Per qualunque richiesta che coinvolga pagamenti, dati sensibili, accessi a sistemi o azioni irreversibili, verifica out-of-band. Significa: contattare il presunto mittente attraverso un canale diverso da quello dell'attacco, usando un riferimento (numero di telefono, indirizzo email, contatto su sistema interno) che si è verificato in precedenza — non quello fornito nella comunicazione sospetta.

Nessuna richiesta legittima e davvero urgente si rovina perché si aspettano cinque minuti per fare una chiamata di verifica al numero noto. Se la presunta urgenza non sopporta questa verifica, è quasi certamente un attacco.

Questa è la difesa più efficace che esista contro il phishing AI. Non richiede tecnologia. Richiede disciplina e — soprattutto — una cultura aziendale che la incoraggi. Il dipendente di una PMI deve sentirsi autorizzato a interrompere un workflow per fare una verifica, anche quando la richiesta sembra arrivare dal CEO. Anzi: soprattutto quando sembra arrivare dal CEO.

Risorse ufficiali italiane ed europee

Per segnalare incidenti, approfondire o aggiornarsi su tendenze e bollettini di sicurezza:

  • CSIRT Italia (csirt.gov.it) — segnalazione di incidenti e bollettini di sicurezza nazionale
  • Polizia Postale (commissariatodips.it) — denuncia di truffe online e phishing
  • ACN — Agenzia per la Cybersicurezza Nazionale (acn.gov.it) — autorità di riferimento per la cybersicurezza in Italia
  • ENISA (enisa.europa.eu) — agenzia europea per la cybersicurezza, report e analisi a livello UE
  • Have I Been Pwned (haveibeenpwned.com) — verifica gratuita se le proprie email o credenziali sono state compromesse in breach noti

Fonti verificate

  1. ENISA — Threat Landscape 2025
  2. KnowBe4 — 2025 Phishing Threat Report (analisi Keepnet)
  3. Anti-Phishing Working Group — Phishing Activity Trends Q1–Q2 2025
  4. McAfee — The Artificial Imposter (voice cloning report)
  5. Pindrop — Voice Intelligence & Security Report 2025
  6. Caso Crosetto (voice cloning, febbraio 2025) — Il Giorno, ICT Security Magazine, Cyber Security 360
  7. Caso Crosetto (account hack, settembre 2025) — ANSA
  8. Caso Arup — ICT Security Magazine, CNN Business, Fortune
  9. FBI alert maggio 2025 — IC3 Public Service Announcement
  10. WormGPT/FraudGPT — Cato Networks via Rapid7 (2025)
  11. Vishing 2025 — DeepStrike Vishing Statistics
  12. Osservatorio Cybersecurity — Exprivia Q1 2025 (via ICT Security)

Contenuto redatto con assistenza AI · Dati e fonti verificati manualmente sui report originali · Esempi di email creati ad hoc a fini illustrativi (nessun caso reale o dato personale è stato utilizzato)

Prossimo passo

Vuoi sapere dove sei oggi sulla sicurezza?

La consultazione conoscitiva gratuita di 30 minuti serve a capire la tua situazione specifica — settore, dimensione, rischi reali — e cosa affrontare prima. Nessuna vendita pressante.

Prenota i tuoi 30 minutiScarica la Checklist NIS2
Tutti gli articoli