Information Security

Una voce nota non è più una prova

Voce e video deepfake ora approvano bonifici reali, e si stima che la frode del CEO colpisca circa 400 aziende al giorno. La soluzione è ridisegnare i controlli, non il software.

Di Leon Soliman · 2026-06-25 · 2 min di lettura

I tuoi controlli si fidano ancora di una voce

La maggior parte dei processi di approvazione dei pagamenti è stata progettata attorno a un presupposto semplice. Una voce nota al telefono, o un volto riconosciuto in una videochiamata, veniva trattato come prova che la richiesta fosse reale. Per decenni quel presupposto ha retto, perché falsificare l'uno o l'altro era difficile, lento e costoso.

Oggi non è più così. Un clone vocale convincente può essere costruito da pochi secondi di audio che i tuoi dirigenti hanno già pubblicato in conference call sui risultati, interventi a conferenze e interviste. I deepfake video in tempo reale passano ormai attraverso i comuni strumenti per le riunioni. Il controllo che proteggeva la tua tesoreria non è mai stato la tecnologia. Era la difficoltà dell'impersonificazione, e quella difficoltà è finita.

L'attacco colpisce il processo, non il software

L'impersonificazione dei dirigenti rappresenta ora circa un quarto delle perdite da frode deepfake, e il metodo è costante. Qualcuno nell'area finanza riceve una richiesta urgente che sembra provenire da un alto dirigente, a volte durante una chiamata dal vivo in cui ogni volto sullo schermo è sintetico. La pressione è l'autorità e il tempo, non un firewall violato.

Ecco perché gli strumenti di rilevamento da soli non risolvono il problema. La debolezza è il flusso di lavoro che consente a una sola persona di spostare denaro sulla base di una voce riconosciuta. In un caso un dipendente dell'area finanza ha rilasciato 25 milioni di dollari in 15 bonifici distinti dopo una singola videoconferenza falsificata. Nessun malware era coinvolto. Il processo ha fatto esattamente ciò per cui era stato costruito.

Ricostruire l'autorizzazione attorno alla verifica

La soluzione è organizzativa, ed è poco affascinante. L'autorità di pagamento non dovrebbe mai poggiare su una voce o un volto. Ogni bonifico oltre una soglia stabilita richiede conferma tramite un canale separato, un secondo approvatore che non era presente alla chiamata originale e un numero di richiamo noto che il richiedente non fornisce mai.

Nulla di tutto ciò richiede nuovo software, ed è questo il punto. Richiede una regola scritta che tenga sotto pressione, anche quando la persona alla chiamata ha esattamente la voce del tuo amministratore delegato. Le aziende che resteranno al sicuro saranno quelle che hanno deciso, in anticipo, che l'urgenza non è una ragione per saltare un passaggio.

Da leggere ora: La Shadow AI sarà la tua prossima violazione · I contenuti della tua AI possono portarti in tribunale

Domande frequenti

Il software di rilevamento dei deepfake può fermare tutto questo?

Aiuta, ma non è il controllo principale. Il rilevamento è in ritardo rispetto agli strumenti usati per creare i falsi, e non può funzionare su ogni telefonata. La difesa affidabile è un processo di pagamento che richiede una verifica indipendente e su canale separato per quanto convincente possa sembrare la richiesta.

È un rischio solo per le grandi aziende?

No. Le aziende di medie dimensioni e a conduzione familiare sono bersagli interessanti proprio perché spesso hanno un'approvazione diretta e basata sulla fiducia tra dirigenti e finanza. Pochi secondi dell'audio pubblico di un titolare bastano per iniziare, e le imprese più piccole raramente dispongono di un piano di risposta formale.

La voce di cui ti fidi è ora la cosa più facile da falsificare. Le aziende che supereranno tutto questo non saranno quelle con il miglior rilevamento. Saranno quelle le cui persone hanno avuto il permesso di rallentare e verificare, anche quando al telefono c'era il capo.

Deepfake CEO Fraud Information Security Payment Fraud Risk Management Mittelstand

Altro dal Servola Journal

AI Governance

La Shadow AI sarà la tua prossima violazione

2026-06-25 · 3 min di lettura

Leggi l'articolo →

Risk Management

I contenuti della tua AI possono portarti in tribunale

2026-06-25 · 2 min di lettura

Leggi l'articolo →

Infrastructure

L'energia è il nuovo limite dell'IA

2026-06-25 · 3 min di lettura

Leggi l'articolo →

Servola

Servola aiuta titolari e team finanziari a ridisegnare l'autorizzazione dei pagamenti affinché un deepfake non possa approvare un bonifico, in tedesco e inglese.

Richiedi un colloquio riservato Chi è Servola →

Servola è consulenza tecnologica per un numero ristretto di famiglie e family office. Quando una decisione non può essere delegata, sediamo dalla vostra parte del tavolo.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Tutti gli articoli