Le parole in codice familiari possono salvarti dalle truffe di clonazione vocale AI: una guida pratica alla sicurezza

Sono le 2 del mattino quando il telefono squilla. La voce di tua figlia è in lacrime, nel panico: “Mamma, ho avuto un incidente. Sono in prigione e ho bisogno subito dei soldi per la cauzione. Per favore non dire niente a papà, manda immediatamente 15.000 dollari su questo conto.” [15.000 dollari circa 13.800 €]. Il cuore ti batte all’impazzata. Allunghi la mano verso il portafoglio. Ma non è tua figlia—è un truffatore che usa la tecnologia di clonazione vocale AI, capace di replicare la sua voce partendo da pochi secondi di audio estratti dai suoi video su TikTok.

Inoltre, l’FBI avverte che i truffatori possono usare immagini o video deepfake come prova.

Questo scenario da incubo sta diventando spaventosamente comune nel 2025, e le statistiche dipingono un quadro inquietante di come la clonazione vocale basata sull’AI abbia trasformato le truffe telefoniche da robocall facilmente individuabili in sofisticati attacchi psicologici che ingannano perfino le vittime più caute.

Truffe vocali AI in numeri

L’esplosione delle truffe di clonazione vocale AI rappresenta una delle minacce di cybersicurezza più pericolose per le famiglie di oggi. Secondo dati recenti raccolti da più fonti autorevoli, la portata del problema è impressionante:

Impatto finanziario globale:

• Le perdite globali dovute a frodi abilitate da deepfake hanno raggiunto 410 milioni di dollari (circa 377 milioni €) nei primi sei mesi del 2025, con perdite documentate totali pari a 897 milioni di dollari (circa 825 milioni €) nell’arco dell’anno.
• Nel 2025 sono stati segnalati oltre 8.400 episodi di frode documentati collegati alla clonazione vocale AI.
• Secondo Reality Defender, le frodi aziendali alimentate dalla clonazione vocale AI potrebbero arrivare a 40 miliardi di dollari l’anno (circa 37 miliardi €) entro il 2027.
• Gli attacchi di voice phishing sono aumentati del 442% nel 2025, secondo la società di cybersicurezza Group-IB.

Statistiche sulle vittime:

• Un’indagine globale McAfee ha rilevato che 1 persona su 4 ha vissuto una truffa con clonazione vocale AI oppure conosce qualcuno che l’ha subita.
• Il 70% delle persone intervistate ha dichiarato di non riuscire a distinguere tra una voce reale e una voce clonata.
• La Federal Trade Commission ha segnalato oltre 845.000 truffe da impostori nel 2024, con la clonazione vocale AI usata sempre più spesso come metodo di inganno.

Nota: Gli strumenti di clonazione vocale AI possono creare una replica convincente della voce usando appena 3 secondi di audio. Alcuni sistemi AI richiedono solo 30 secondi di audio e dati video per creare cloni credibili.

⚠️ La qualità della clonazione vocale ha ormai superato la “uncanny valley”, il che significa che l’orecchio umano non riesce più a percepire la differenza tra voci reali e voci generate dalle macchine.

La minaccia è reale: come funzionano le truffe di clonazione vocale AI

Nel corso del 2025, il governo federale ha emesso diversi avvisi urgenti sulle truffe di clonazione vocale AI. Per esempio, l’FBI ha avvertito che attori malevoli stavano usando messaggi vocali generati dall’AI per impersonare alti funzionari statunitensi in attacchi mirati contro funzionari governativi attuali ed ex. L’agenzia ha osservato che “i contenuti generati dall’AI hanno fatto progressi al punto che spesso è difficile identificarli” e che i criminali stanno sfruttando l’AI per “aumentare la credibilità dei loro schemi”.

La FCC ha vietato all’unanimità l’uso di voci generate dall’AI nelle robocall dopo che la voce dell’ex presidente Biden è stata clonata in false robocall durante le primarie del New Hampshire, dimostrando quanto sia facile impersonare personaggi pubblici.

Capire come funzionano queste truffe è il primo passo per proteggere te e la tua famiglia. Ecco la sequenza tipica di un attacco:

Passaggio 1: Raccolta del campione vocale

I truffatori raccolgono campioni vocali da fonti pubblicamente disponibili:

• video sui social media (TikTok, Instagram, YouTube, Facebook);
• partecipazioni a podcast;
• videochiamate o registrazioni di conferenze pubblicate online;
• messaggi della segreteria telefonica;
• discorsi pubblici o presentazioni;
• perfino chiamate “numero sbagliato” pensate apposta per registrare la tua voce.

In genere i truffatori studiano i legami familiari sui social per identificare potenziali bersagli e le loro relazioni.

Passaggio 2: Clonazione vocale AI

Usando strumenti AI gratuiti o poco costosi, i truffatori inseriscono il campione audio in un software di clonazione vocale. Una valutazione di Consumer Reports ha rilevato che, per quattro dei sei prodotti di clonazione vocale testati, i ricercatori potevano “creare facilmente” un clone vocale usando audio accessibile pubblicamente, senza alcun meccanismo tecnico per garantire il consenso. Quattro di questi servizi offrivano gratuitamente la clonazione vocale personalizzata.

McAfee Labs ha scoperto che bastavano tre secondi di audio per produrre un clone con un 85% di corrispondenza vocale rispetto all’originale.

Passaggio 3: La chiamata di attacco

Il truffatore contatta la vittima usando la voce clonata, di solito:

• tarda notte o al mattino presto, quando le persone sono più vulnerabili e meno propense a ragionare con lucidità;
• creando uno scenario di crisi urgente: incidente d’auto, arresto, rapimento, emergenza medica;
• pretendendo un’azione immediata: “Non chiamare nessun altro, mi servono soldi subito”;
• richiedendo metodi di pagamento non tracciabili: bonifici, criptovalute, carte regalo o ritiro di contanti.

Il truffatore sfrutta reazioni umane naturali: la paura per la sicurezza di una persona cara che scavalca il pensiero razionale, la fiducia in una voce familiare che disattiva lo scetticismo e l’urgenza che impedisce qualsiasi verifica.

Come ha spiegato un esperto di sicurezza informatica nell’analisi dell’American Bar Association,

“Il realismo emotivo di una voce clonata elimina la barriera mentale dello scetticismo. Se suona come la persona che ami, le tue difese razionali tendono a spegnersi.”

⚠️ Vittime reali: Nel luglio 2025, Sharon Brightwell, di Dover (Florida), ha ricevuto una chiamata da qualcuno che sosteneva di essere sua figlia, piangendo e dicendo di aver ucciso una donna incinta in un incidente d’auto e di aver bisogno immediato dei soldi per la cauzione. Nel corso della giornata, Sharon ha inviato 15.000 dollari (circa 13.800 €) ai truffatori. Solo dopo aver parlato con sua figlia vera ha capito l’inganno.

La migliore difesa in assoluto: parole in codice familiari

Gli esperti di cybersicurezza, le forze dell’ordine e le istituzioni finanziarie sono unanimi nella raccomandazione: stabilire una parola in codice o una passphrase di famiglia. Questa soluzione semplice e “low-tech” offre la difesa più efficace anche contro gli attacchi di clonazione vocale AI più sofisticati.

Come Hany Farid, professore dell’Università della California, Berkeley, che studia i deepfake audio, ha detto a Scientific American,

“Mi piace l’idea della parola in codice perché è semplice e, ammesso che chi riceve la chiamata abbia la lucidità di ricordarsi di chiederla, non è banale da aggirare. In questo momento non esiste un altro modo ovvio per sapere che la persona con cui stai parlando è davvero chi dice di essere.”

Steve Grobman, McAfee’s chief technology officer, ha spiegato ad Axios che, anche se non è realistico cancellare la propria voce da internet,

“Credo che, per molti versi, dobbiamo considerare il fatto che la nostra voce sia là fuori come un costo del fare impresa, a fronte di tutte le cose straordinarie che l’economia digitale ci offre—e una parola in codice familiare è il modo in cui verifichiamo l’identità.”

Come creare e usare un sistema efficace di parole in codice familiari

Passaggio 1: Scegli la parola in codice giusta

Esempi di buone parole in codice:
“Le scarpe da bowling viola del nonno” (riferimento a una storia di famiglia divertente);
“Il disastro del Taco Tuesday” (episodio di famiglia memorabile);
“L’incidente del pupazzo di neve 2018” (esperienza condivisa);
Una coppia domanda-risposta: “Che cosa ha bruciato la mamma a Thanksgiving?” Risposta: “Il purè di patate”.

James Scobey, chief information security officer at Keeper Security, ha detto a CBS News, “Deve essere unica e dovrebbe essere qualcosa di difficile da indovinare. Non dovrebbe essere qualcosa che si può ricercare online su di te o sulla tua famiglia.”

Passaggio 2: Condividila in modo sicuro

È meglio comunicare la parola in codice di persona, faccia a faccia quando possibile. Se devi condividerla in digitale, usa piattaforme con crittografia end-to-end come Signal. Valuta di conservarla in una cassaforte di un password manager cifrato e non inviarla mai via SMS, email né menzionarla sui social.

Passaggio 3: Stabilite chiaramente quando usarla

Accordatevi per richiedere la parola in codice per:

• QUALSIASI chiamata che richieda denaro o aiuto finanziario;
• QUALSIASI emergenza che sembri insolita o fuori dal solito;
• QUALSIASI chiamata da un numero sconosciuto che afferma di essere un familiare;
• QUALSIASI situazione che includa urgenza e segretezza.

Come richiederla:

• dì con calma: “Prima di continuare, qual è la nostra parola in codice di famiglia?”
• non dire tu la parola in codice: aspetta che sia la persona a pronunciarla;
• se non riesce a fornirla o sembra confusa, riaggancia immediatamente.
• segnala l’accaduto alle autorità locali e all’Internet Crime Complaint Center (IC3) dell’FBI.

Passaggio 4: Fate pratica regolarmente

Testate periodicamente il sistema per assicurarvi che tutti lo ricordino. Trasformatelo in un gioco invece che in un’esperienza spaventosa: fate domande a sorpresa ogni tanto. Aggiornatelo se diventa troppo noto o se sospettate che sia stato compromesso, e rivedete il protocollo con i familiari anziani che potrebbero essere particolarmente vulnerabili.

Passaggio 5: Estendetelo a più gruppi

Non usare la stessa parola in codice per gruppi diversi:

• Famiglia stretta: una parola in codice.
• Famiglia allargata (nonni, cugini): una parola in codice diversa.
• Amici stretti: una parola separata, se applicabile.
• Colleghi di lavoro: codici di verifica per richieste finanziarie sensibili.

Strategie di verifica aggiuntive oltre alle parole in codice

Anche se le parole in codice offrono un’ottima protezione, gli esperti di cybersicurezza consigliano un approccio a più livelli:

1. Il metodo di verifica con richiamata.

   Riaggancia subito, anche se chi chiama ti supplica di restare in linea. Richiama usando un numero che hai già salvato per quella persona. Non usare mai il numero di richiamata che ti fornisce chi chiama. Non fidarti dell’ID chiamante: i numeri possono essere falsificati.

2. Verifica con videochiamata.

   Se possibile, chiedi di passare a una videochiamata. Anche se esistono video deepfake, è meno probabile che un truffatore disponga contemporaneamente sia di un deepfake video sia di un clone audio pronti all’uso nello stesso momento.

3. Fai domande personali.

   Anche senza una parola in codice familiare, puoi fare domande su dettagli personali e privati che solo la persona reale conoscerebbe: un soprannome d’infanzia usato solo in famiglia, il nome dell’insegnante di prima elementare, dove ha dato il primo bacio, che cosa di imbarazzante è successo all’ultimo Thanksgiving, ecc.

4. Ascolta i segnali di allarme.

   • Tono e scelta delle parole: corrispondono al modo in cui parla di solito?
   • Rumori di fondo: ambienti incoerenti o dal suono artificiale.
   • Ritardo nella chiamata: i contenuti generati dall’AI possono avere lievi latenze.
   • Frasi insolite: linguaggio che normalmente non userebbe.

Tuttavia, gli esperti avvertono che l’AI è diventata così sofisticata che questi indizi potrebbero non essere più affidabili.

Proteggere la tua impronta vocale digitale

Anche se non puoi rimuovere completamente la tua voce da internet, puoi limitare l’accesso dei truffatori ai campioni vocali:

Il futuro delle truffe vocali AI

Gli esperti avvertono che le truffe di clonazione vocale AI diventeranno solo più sofisticate.

Il dott. Rahul Sood, chief product officer della società di sicurezza Pindrop, ha detto ad Axios,

“La velocità con cui sta accadendo ora e la credibilità della voce hanno cambiato tutto. La qualità della clonazione vocale ha ormai superato la cosiddetta ‘uncanny valley’—il che significa che l’orecchio umano non riesce più a percepire la differenza tra ciò che è umano e ciò che è generato dalle macchine.”

⚠️ La minaccia è reale, immediata e in crescita. Ma la soluzione è sorprendentemente semplice: una parola in codice familiare.

Questa difesa “low-tech” offre la protezione più efficace anche contro gli attacchi di clonazione vocale AI più avanzati. Se combinata con protocolli di verifica, educazione e consapevolezza, la parola in codice può fermare i truffatori sul nascere—per quanto convincenti possano sembrare le loro voci generate dall’AI.

Non aspettare la chiamata delle 2 del mattino. Proteggi la tua famiglia adesso.