Come un candidato falso viene assunto, non solo come ti frode

La maggior parte degli imprenditori oggi si prepara al deepfake che attacca dall'esterno: la voce clonata di un direttore finanziario che approva un bonifico, la videochiamata che si rivela sintetica. Lo schema descritto negli avvisi di giugno 2026 di studi come Skadden e Crowell procede nel senso opposto. Qui il deepfake non telefona per commettere una frode. Si candida per un lavoro. Supera il colloquio video dal vivo, presenta un portfolio generato dall'IA e una storia lavorativa che appare pulita, ed esibisce un'identità rubata o presa in prestito che passa un controllo dei precedenti standard. Poi viene assunto in un ruolo da remoto di ingegneria o IT, e nessuno nella tua azienda ha mai incontrato la persona dietro lo schermo.

I resoconti descrivono operativi legati a Stati stranieri che usano questi metodi su larga scala. Una volta dentro, il lavoratore percepisce uno stipendio, ottiene un accesso legittimo al codice e ai dati dei clienti e, in casi documentati di applicazione della legge, dirotta i salari all'estero, talvolta mentre un facilitatore nazionale ospita il portatile aziendale in una cosiddetta laptop farm per nascondere la vera posizione. I procuratori hanno citato ben oltre un centinaio di aziende vittime in diversi settori. Il punto scomodo per un imprenditore è che la frode non è un singolo bonifico rubato che puoi recuperare. È una persona nel tuo libro paga con un badge, una login e del tempo a disposizione.

Perché l'esposizione ricade su di te, l'azienda che li ha assunti

L'istinto porta a pensare che un'azienda ingannata da un'operazione professionale sia semplicemente una vittima, e in una certa misura gli avvisi descrivono così le aziende che assumono. La realtà più dura è che il rischio a valle ricade comunque sul datore di lavoro. Se un operativo sottrae codice sorgente, dati dei clienti o segreti commerciali, sei tu a portare gli obblighi di notifica e di violazione dei dati. Se ha toccato tecnologia controllata, sei tu a portare la questione del controllo delle esportazioni. E dove è coinvolta una giurisdizione sanzionata, la responsabilità per le sanzioni può scattare su base di responsabilità oggettiva, il che significa che l'esposizione può esistere anche quando l'azienda non sapeva chi stesse davvero pagando. Gli avvisi non descrivono un'esenzione esplicita che assolva un'assunzione involontaria.

Niente di tutto questo è una previsione sulla tua azienda, e nulla qui costituisce consulenza legale o un'accusa contro alcun individuo. È la descrizione di uno schema che regolatori e studi legali stanno ora segnalando, e di dove ricadono le conseguenze. L'applicazione della legge finora ha in gran parte trattato le aziende che assumono come vittime piuttosto che come bersagli, ma le stesse linee guida segnalano che un'azienda con deboli controlli di assunzione e monitoraggio si trova in una posizione molto diversa rispetto a una che può dimostrare di aver verificato. Per un'azienda remote-first che assume ingegneri a cui non stringerai mai la mano, quella distinzione è tutto il gioco.

Cosa dovrebbero davvero verificare gli imprenditori che assumono ingegneri da remoto

Le difese non sono esotiche e non sono costose rispetto all'esposizione. Verifica correttamente la liveness invece di fidarti che una telecamera funzionante significhi una persona reale: un passaggio di persona dove possibile, oppure tecniche di colloquio abbastanza robuste da mettere sotto sforzo un feed sintetico, come chiedere al candidato di muoversi, mostrare un oggetto o cambiare la scena su richiesta. Verifica credenziali e referenze in modo indipendente, contattando istituzioni ed ex datori di lavoro attraverso canali che trovi tu stesso, piuttosto che i numeri di telefono e le email che il candidato fornisce. Tratta i documenti d'identità come qualcosa da confermare rispetto alla persona, non solo da raccogliere.

Due controlli operativi svolgono molto lavoro silenzioso. Spedisci l'hardware aziendale solo all'indirizzo verificato sul documento d'identità, mai a un indirizzo di inoltro o a un punto di ritiro, il che spezza direttamente il meccanismo della laptop farm. E richiedi un'autenticazione a più fattori basata su hardware, legata al dispositivo emesso, così che una login da un Paese inatteso non passi semplicemente liscia. Fai attenzione ai segnali che ricorrono nei resoconti: geografie di login non coerenti, riluttanza ad apparire in video in condizioni che cambiano e pressioni per dirottare pagamenti o attrezzature in un luogo diverso dall'identità verificata. Chiedi alle Risorse Umane e all'IT, insieme, una domanda sulle tue ultime assunzioni da remoto: potremmo dimostrare, oggi, che ciascuna di quelle persone è chi ha detto di essere.