Le truffe con video e voci false rappresentano una delle evoluzioni più insidiose del cybercrime moderno. Fino a pochi anni fa, una telefonata con la voce di un familiare, una videochiamata con un collega o un filmato di un personaggio pubblico erano percepiti come elementi sufficienti per fidarsi.
Oggi non è più così.
L’uso dell’intelligenza artificiale generativa consente di creare audio, immagini e video estremamente realistici, capaci di imitare il volto, la voce, il modo di parlare e persino alcune espressioni di una persona reale. Il risultato è un nuovo tipo di inganno: non più soltanto email sospette o SMS scritti male, ma contenuti apparentemente autentici, costruiti per generare urgenza, paura, fiducia o senso di autorità.
Il fenomeno non riguarda solo celebrità, politici o grandi aziende. Può coinvolgere privati cittadini, famiglie, professionisti, imprenditori, dipendenti amministrativi e dirigenti aziendali.
La domanda corretta, quindi, non è più “posso riconoscere sempre un falso?”, ma “quale procedura uso quando voce e video non bastano più a provare l’identità di una persona?”.
Indice dei contenuti
Cosa sono le truffe con video e voci false
Per comprendere il rischio, bisogna prima distinguere le principali tecniche usate dai truffatori. Le truffe con video e voci false non sono tutte uguali: alcune puntano a ottenere denaro, altre dati personali, altre ancora a creare danni reputazionali o a costruire false prove contro una persona.
Deepfake video: quando il volto non garantisce più l’identità
Il termine deep fake indica un contenuto audio, video o immagine alterato o generato tramite sistemi di intelligenza artificiale. Nel caso dei video, l’IA può sostituire il volto di una persona, modificarne le espressioni o generare un filmato in cui sembra pronunciare frasi mai dette.
Questa tecnologia può essere usata in contesti leciti, come cinema, doppiaggio o formazione, ma diventa pericolosa quando viene impiegata per sostituzione di persona, frodi finanziarie, diffamazione, ricatti, manipolazione informativa o truffe online.
Nel nostro blog abbiamo già evidenziato come i deepfake possano essere usati per fake news, revenge porn, furto d’identità e sextorsion.
Clonazione vocale: quando la voce sembra quella giusta
La clonazione vocale consente di imitare timbro, ritmo, accento e cadenza di una persona. Secondo test pubblicati da McAfee, in un caso sono bastati tre secondi di audio per ottenere un clone con una corrispondenza dell’85%, mentre campioni più lunghi hanno permesso risultati ancora più accurati.
Questo significa che video pubblici su social, podcast, webinar, messaggi vocali, interviste o contenuti aziendali possono diventare materiale utile per costruire una voce falsa. Non bisogna però cadere nel panico: il rischio non dipende solo dall’esistenza di un campione audio, ma dal contesto, dalla quantità di informazioni disponibili e dall’interesse del truffatore verso la vittima.
Social engineering: la tecnologia è solo metà della truffa
Il vero pericolo non è solo tecnico. Le truffe con video e voci false funzionano perché combinano IA generativa e ingegneria sociale. Il truffatore non si limita a imitare una voce: costruisce una storia credibile.
Può fingere un incidente, un’urgenza medica, un problema legale, una richiesta del capo, un investimento riservato o un’emergenza familiare. Il contenuto falso serve a superare la naturale diffidenza della vittima e a spingerla ad agire in fretta: inviare denaro, comunicare codici, condividere documenti, cliccare su un link o autorizzare un pagamento.
Come riconoscere video e voci false
Riconoscere un deepfake non è sempre facile. Alcuni contenuti presentano errori evidenti, altri sono molto convincenti. Per questo è utile osservare sia i segnali tecnici sia quelli comportamentali.
Segnali visivi di un video deepfake
Un video falso può presentare anomalie nei movimenti del volto, nella sincronizzazione labiale, nell’illuminazione o nei dettagli della pelle. Tra i segnali più frequenti ci sono bordi del viso sfocati, tremolii durante i movimenti rapidi, espressioni rigide, occhi innaturali, ombre incoerenti e una pelle eccessivamente liscia o “cerosa”.
Un punto critico è lo sfasamento tra fonemi e visemi: i fonemi sono i suoni pronunciati, i visemi sono i movimenti visibili della bocca. Se una persona pronuncia suoni come “P”, “B” o “M”, le labbra dovrebbero chiudersi in modo coerente. Nei video manipolati, questa corrispondenza può risultare imprecisa.
Esistono anche tecniche forensi più avanzate, come l’analisi del flusso sanguigno nei pixel del volto. Intel ha presentato FakeCatcher, un sistema che analizza sottili variazioni cromatiche legate al battito cardiaco e dichiara una precisione del 96% in determinate condizioni di test.
Segnali audio di una voce clonata
Una voce clonata può apparire piatta, metallica, troppo regolare o priva di micro-variazioni naturali. In alcuni casi mancano respiri, esitazioni, colpi di tosse, risate spontanee o cambi emotivi realistici. Altri segnali sono pause strane, frasi ripetitive, rumori di fondo artificiali o una cadenza che “sembra giusta” ma non completamente naturale.
Il problema è che questi indizi non sono sempre presenti. Alcune imitazioni vocali sono abbastanza credibili da ingannare anche persone attente, soprattutto se la chiamata è breve e costruita su un forte stress emotivo.
I segnali psicologici sono spesso più importanti dei difetti tecnici
Molte truffe non vengono riconosciute perché il falso è perfetto, ma perché la vittima viene messa sotto pressione. Le red flag più importanti sono: urgenza estrema, richiesta di segretezza, impossibilità di richiamare, richiesta di bonifici immediati, crypto, gift card, codici OTP o documenti personali.
La Federal Trade Commission, parlando delle truffe familiari con voce clonata, raccomanda di non fidarsi della sola voce e di verificare la storia chiamando la persona su un numero già conosciuto.
Le principali truffe con video e voci false
Le modalità criminali cambiano rapidamente, ma alcuni schemi ricorrono con particolare frequenza.
Truffa del familiare in emergenza
È una delle forme più diffuse. La vittima riceve una chiamata o un vocale in cui sembra parlare un figlio, un nipote o un partner. La voce comunica un incidente, un arresto, un ricovero o una situazione di pericolo. Subito dopo può intervenire un falso avvocato, medico, carabiniere o intermediario che chiede denaro urgente.
La difesa più efficace è una parola d’ordine familiare, detta anche safe word: una frase concordata prima, non pubblicata online e conosciuta solo da poche persone. Se manca la parola d’ordine, la comunicazione va interrotta e verificata con un canale autonomo.
Frode del CEO e videochiamate aziendali false
Nel mondo aziendale, le truffe con video e voci false possono trasformarsi in Business Email Compromise evoluto. Il dipendente riceve una richiesta apparentemente proveniente da un dirigente, un CFO o un amministratore: autorizzare un bonifico, modificare un IBAN, condividere documenti riservati o concludere un’operazione urgente.
Il caso Arup ha mostrato quanto il rischio sia concreto: l’azienda ha confermato una frode da circa 20 milioni di sterline in cui sono state usate immagini e voci false durante una videochiamata, con più interlocutori apparentemente riconoscibili.
Truffe finanziarie con personaggi pubblici
Un’altra modalità frequente riguarda video falsi di giornalisti, imprenditori, politici o autorità che sembrano promuovere investimenti. In Italia, la Polizia Postale ha segnalato l’uso di contenuti deepfake in false proposte di investimento online, con volti e voci riprodotti in modo realistico.
Il fatto che un video sia sponsorizzato sui social non lo rende affidabile. Commenti positivi, grafiche professionali, loghi di testate e interviste apparentemente televisive possono essere falsificati.
Romance scam, ricatti e reputazione
I deepfake vengono usati anche nelle truffe sentimentali, nelle videochiamate false e nei ricatti. Una persona può essere convinta di parlare con un partner reale, una celebrità o un profilo affidabile. In altri casi, il volto della vittima viene inserito in contenuti compromettenti per ottenere denaro o danneggiare la reputazione.
Qui entrano in gioco temi delicati come furto di identità digitale, violazione della privacy, diffamazione, sextortion e tutela della reputazione online.
Come difendersi: procedure pratiche per privati e aziende
La difesa più solida non è “riconoscere sempre il falso”, ma impedire che un falso basti a ottenere denaro, dati o accessi.
Per privati e famiglie
In caso di chiamata sospetta, la regola è semplice: interrompere la comunicazione e verificare. Non bisogna richiamare numeri inviati dal presunto familiare e non bisogna seguire link ricevuti nella stessa conversazione. Meglio usare un numero salvato in rubrica, un secondo familiare o un altro canale già noto.
È utile concordare una parola d’ordine, limitare la pubblicazione di audio e video sui social, evitare di condividere routine familiari e spiegare agli anziani che una voce familiare può essere imitata. Le domande personali non sempre bastano: molte informazioni sono già disponibili online.
Per aziende, studi professionali e amministrazioni
Le imprese dovrebbero adottare procedure rigide: doppia approvazione per pagamenti, verifica out-of-band per modifiche IBAN, divieto di autorizzare bonifici solo tramite telefono o videochiamata, formazione su vishing e social engineering, audit dei contenuti pubblici dei dirigenti.
Nessuna voce, nemmeno quella dell’amministratore delegato, dovrebbe poter superare da sola una procedura interna. La sicurezza dipende da processi, log, responsabilità e tracciabilità.
Strumenti tecnologici: utili, ma non infallibili
Esistono detector per audio e video, sistemi di watermarking, analisi forensi e soluzioni di cybersecurity. Tuttavia, non esiste uno strumento universale in grado di certificare sempre, in tempo reale e senza margine d’errore, l’autenticità di una voce o di un video. Anche fonti di settore sottolineano che non ci sono strumenti automatici infallibili per riconoscere un deepfake vocale in ogni situazione.
Per questo, quando il contenuto può avere valore legale o economico, è opportuno affidarsi a investigazioni digitali e ad analisi tecniche condotte con metodo forense.
Cosa fare se si è vittima di una truffa con video o voce falsa
La gestione dell’incidente è decisiva. Agire in modo disordinato può compromettere il recupero del denaro, la denuncia o l’utilizzabilità delle evidenze.
Interrompere, documentare, segnalare
Se si sospetta una truffa, bisogna interrompere il contatto, non inviare altro denaro, avvisare la banca e modificare le credenziali degli account coinvolti. È importante conservare screenshot, link, numeri di telefono, email, chat, file audio e video, senza alterare i contenuti originali.
Quando possibile, ogni prova digitale dovrebbe essere raccolta e conservata in modo corretto, perché data, metadati, fonte, hash, dispositivo e catena di custodia possono diventare rilevanti in sede di denuncia, contenzioso o investigazione privata.
Aspetti legali e privacy
La Legge 23 settembre 2025, n. 132 ha introdotto nel Codice penale l’art. 612-quater, relativo all’illecita diffusione di immagini, video o voci falsificati o alterati con sistemi di intelligenza artificiale, punita con la reclusione da uno a cinque anni quando cagiona un danno ingiusto alla persona.
Anche il Garante Privacy ha richiamato l’attenzione sui rischi dei deepfake, ricordando che l’uso di immagini e voci reali senza consenso può incidere sui diritti e sulle libertà fondamentali della persona.
A livello europeo, l’AI Act prevede obblighi di trasparenza, marcatura e rilevabilità per contenuti generati o manipolati artificialmente, inclusi i deepfake.
Conclusione: non fidarsi meno, verificare meglio
Le truffe con video e voci false non eliminano la fiducia, ma obbligano a ripensarla. Nell’era dell’IA, voce, volto e video non possono più essere considerati prove sufficienti. Serve una cultura della verifica: canali indipendenti, parole d’ordine, procedure aziendali, attenzione alla privacy e raccolta corretta delle evidenze.
Per privati, famiglie e imprese, la difesa passa da un principio semplice: nessuna richiesta urgente di denaro, dati o accessi deve essere autorizzata sulla base di una sola voce o di una sola videochiamata.
Quando il danno è già avvenuto, o quando è necessario verificare l’autenticità di contenuti sospetti, il supporto di professionisti in ambito investigativo, forense e reputazionale può aiutare a ricostruire i fatti, individuare le responsabilità e tutelare la persona o l’azienda coinvolta. In scenari in cui riconoscimento facciale, voce, identità e reputazione digitale possono essere manipolati, la differenza la fa il metodo: osservare, conservare, verificare e agire con tempestività.
