CFO ingannato da un deepfake: truffato con una videochiamata da mezzo milione di dollari

A Singapore, un direttore finanziario (CFO) è stato manipolato da un gruppo di cybercriminali che hanno impiegato intelligenza artificiale generativa e tecnologia deepfake per mettere in scena una convincente falsa riunione aziendale — e ottenere così un bonifico fraudolento da quasi 500.000 dollari.

Quella che inizialmente sembrava una videochiamata come tante si è rivelata una trappola perfettamente orchestrata, con digital twin creati a partire da materiali video pubblici della stessa azienda. I volti familiari del CEO e di altri dirigenti erano, in realtà, nient’altro che avatar digitali, ricreati con tale precisione da superare ogni sospetto.

Il piano del raggiro al CFO: WhatsApp, Zoom e deepfake

Il meccanismo messo in atto dai truffatori si articola con cura. Tutto inizia con un messaggio su WhatsApp, inviato apparentemente dal numero del direttore finanziario. In quel messaggio, si chiede con urgenza di organizzare un meeting su Zoom. Dall’altra parte dello schermo, un finto gruppo dirigenziale, composto da immagini ricostruite grazie all’IA, convince il vero CFO a procedere con un primo bonifico bancario dall’importo di circa 670.000 dollari singaporiani (quasi mezzo milione di dollari americani).

I criminali informatici hanno attinto dalle fonti pubbliche disponibili: video corporate, registrazioni ufficiali, contenuti promozionali. Tutto materiale sufficiente per costruire repliche digitali convincenti di dirigenti reali, capaci di vocalizzare, muoversi e interagire in modo realistico.

La recita è riuscita, almeno inizialmente. Il CFO, ingannato dalla familiarità visiva e dalla pressione del contesto, autorizza il trasferimento del denaro verso il conto indicato dai truffatori.

Il secondo tentativo fallisce, poi scatta l’allarme

La truffa sembrava destinata a durare ancora. Ma è quando al dirigente viene chiesto un secondo trasferimento, ben più consistente — circa 1,4 milioni di dollari singaporiani — che qualcosa non torna. Stavolta il sospetto si insinua. Il CFO, conscio della delicatezza della questione e forse colto da un’intuizione tardiva, contatta l’Anti-Scam Centre di Singapore e la polizia di Hong Kong.

Fortunatamente, l’intervento è tempestivo. Le autorità riescono a bloccare il trasferimento e a recuperare il denaro già inviato. Nessuna perdita economica, tecnicamente. Ma i danni reali valicano il campo finanziario.

Quando la fiducia interna diventa il punto debole

A emergere con forza è un dato inquietante: la facilità con cui è stato violato il tessuto fiduciario interno all’organizzazione. Nonostante l’assenza di perdite definitive, l’incidente segna un duro colpo per la credibilità dei flussi decisionali interni.

La truffa ha sfruttato non solo la tecnologia, ma anche le dinamiche psicologiche che regolano la comunicazione in ambito aziendale. Ha saputo imporsi perché parlava il linguaggio abituale della routine lavorativa, tra riunioni online, pressioni sui tempi e interferenze digitali. Nessun attacco tecnico complicato ai server, nessun malware nascosto: il vero bersaglio era l’identità digitale del gruppo dirigente.

I deepfake non sono più futuro: sono una minaccia concreta

L’incidente si colloca in quello che ormai è un trend consolidato: l’impiego sempre più raffinato di strumenti come deepfake video e sintetizzazione vocale per manipolare vittime in carne e ossa. Quando volti e voci familiari possono essere replicati con tale precisione, i protocolli di sicurezza tradizionali diventano obsoleti.

L’intera operazione solleva interrogativi urgenti sul valore della verifica dell’identità e dei processi di autenticazione. In un’epoca in cui ogni porzione di contenuto digitale può essere replicata e manipolata, non basta più riconoscere un volto per fidarsi. Anche i messaggi più banali, se decontestualizzati e reinterpretati, possono diventare strumenti d’inganno.

Difendersi è possibile, ma servono nuove strategie

L’episodio è un campanello d’allarme potente per aziende di ogni dimensione. Non basta istruire i dipendenti contro le minacce comuni del social engineering. Occorre rafforzare la protezione a monte, introducendo:

• Sistemi avanzati di autenticazione biometrica
• Procedure asincrone di verifica dei trasferimenti
• Responsabili esterni per le validazioni critiche
• Monitoraggio continuo dei contenuti pubblicati

Ogni asset digitale reso pubblico, infatti, può costituire la materia prima per futuri attacchi basati su IA. Una video-intervista del CEO, un webinar, persino una diretta social, potrebbero offrire materiale visivo e sonoro utile per costruire nuove truffe iperrealistiche.

La fiducia digitale è un’infrastruttura critica

Alla base di tutto resta un principio che molte organizzazioni oggi ancora sottovalutano: la fiducia interna è una delle risorse più vulnerabili nel contesto aziendale moderno. Al pari di firewall, VPN o sistemi antimalware, essa fa parte delle infrastrutture critiche che tengono in piedi l’operatività di un’azienda.

Quando questa fiducia viene incrinata — come accaduto nel caso della truffa a Singapore — si aprono pericolose crepe non solo nei sistemi, ma nella cultura aziendale. L’incertezza, il sospetto e la diffidenza possono minare le fondamenta stesse della collaborazione.

Un caso emblematico con valore globale

Il caso di Singapore si configura come un esempio emblematico e un monito internazionale. Non si tratta semplicemente di un singolo episodio ben riuscito di phishing o di frode digitale. Si tratta di un modello criminale replicabile, che sfrutta in modo sistemico l’intelligenza artificiale per colpire il punto più fragile delle organizzazioni: l’essere umano.

Serve, dunque, un cambio di paradigma. Ogni azienda deve oggi porsi la domanda: “Quanto è realmente protetta l’identità dei nostri leader?”. E, soprattutto: “Quanto sono verificabili — e verificati — i nostri flussi decisionali digitali?”

Nel nuovo scenario della cybersecurity, l’attacco non arriva più dai codici malevoli, ma da conversazioni convincenti, volti noti, parole familiari. E riconoscere l’inganno, oggi più che mai, non è affatto scontato.