Si chiamano malicious digital twins, ovvero gemelli digitali cattivi: dopo il deepfake, sono il nuovo, serio e reale pericolo dell’intelligenza artificiale che coinvolge tutti, ma proprio tutti, anche e soprattutto chi frequenta i social network.
L’intelligenza artificiale sta rivoluzionando numerosi settori, ma purtroppo anche il mondo del cybercrimine. Gli attacchi informatici basati sull’IA stanno diventando sempre più mirati e personalizzati, sfruttando tecnologie avanzate per rendere le truffe e le campagne di phishing estremamente convincenti. I cybercriminali, grazie all’accesso a enormi quantità di dati rubati, stanno sviluppando strumenti in grado di imitare il comportamento e la comunicazione delle loro vittime con una precisione inquietante.
Il parco giochi dei cybercriminali sono e restano i social network dove miliardi di persone in tutto il mondo si collegano ogni giorno per condividere post, foto e video di se, della propria famiglia e dei loro amici. E’ qui che hanno fatto la loro prima comparsa i malicious digital twins, i gemelli digitali cattivi. Una versione evoluta del deepfake, anzi, molto evoluta e praticamente impossibile da riconoscere, almeno per ora.
Ma qual è la differenza tra deepfake e gemelli digitali cattivi?
Il fenomeno dei deepfake
I deepfake rappresentano una delle minacce più insidiose nell’ambito della sicurezza digitale. Si tratta di video, immagini o audio generati dall’intelligenza artificiale per creare contenuti falsi ma estremamente realistici. Utilizzando sofisticati algoritmi di machine learning, queste tecnologie sono in grado di replicare movimenti, espressioni facciali e persino la voce di una persona, rendendo molto difficile distinguere il vero dal falso. Questa tecnica è utilizzata non solo per manipolare informazioni e diffondere fake news, ma anche per attacchi mirati come truffe finanziarie e campagne di disinformazione.
Va chiarita la differenza tra deepfake e altre tecniche di inganno digitale. Se un cybercriminale crea un’identità falsa senza utilizzare immagini, video o audio manipolati dall’IA, ma solo attraverso un profilo testuale o un account fittizio, allora non si tratta di un deepfake, bensì di una frode basata sull’ingegneria sociale. Tuttavia, se vengono utilizzati contenuti audiovisivi generati dall’IA per rendere credibile l’esistenza di un individuo inesistente, allora rientriamo nell’ambito dei deepfake veri e propri.
L’ascesa dei “gemelli digitali cattivi”
Uno degli scenari più preoccupanti riguarda la creazione dei cosiddetti “gemelli digitali cattivi” o malicious digital twins. Questa tecnica sfrutta modelli di IA addestrati su dati personali pubblicamente disponibili per replicare lo stile di scrittura, il tono e persino il comportamento online di un individuo. Insomma, dei veri e prorpio “gemelli” che si clonano sul modello originale dell’utente e lo imitano alla perfezione.
I contenuti manipolati provengono spesso da video e foto pubblicati sui social network più comuni, rendendo qualsiasi utente un potenziale bersaglio, indipendentemente dal fatto che sia una figura pubblica o meno. Le potenziali conseguenze sono gravi, poiché questi falsi profili possono essere utilizzati per ingannare amici, colleghi o persino dipendenti di aziende, accedendo così a dati sensibili e risorse finanziarie.
Nell’immaginario più catastrofico possono essere usati in rete per molestare o ricattare altri utenti o estorcere denaro con truffe digitali. È già realtà la truffa della falsa telefonata ad anziane persone da parte di inesistenti poliziotti o carabinieri che allarmano il povero malcapitato di un incidente stradale subito da un figlio o da un nipote, telefonate a cui seguono richieste in denaro o di bonifici bancari per il trasporto di soccorso o cure mediche. Dalla telefonata alla videochiamata di un deepfake o del “gemello digitale cattivo” del fantomatico nipote ferito, il passo è davvero breve.
L’inganno nei contesti aziendali
Le minacce legate all’IA non si limitano ai singoli utenti. Anche le aziende sono nel mirino, con cybercriminali che utilizzano falsi dipendenti per infiltrarsi nei sistemi aziendali. Questi attacchi possono sfruttare identità digitali contraffatte per ottenere accesso a dati sensibili, manipolare transazioni finanziarie o diffondere informazioni false. In alcuni casi, i criminali possono addirittura creare dal nulla falsi dipendenti, che interagiscono con fornitori, clienti e persino istituti bancari e pubbliche amministrazioni. Questo scenario apre la porta a frodi complesse, in cui gli attaccanti riescono a instaurare rapporti di fiducia prima di colpire con azioni dannose.
Nell’ipotesi più “innocente”, immaginate un hacker che riesce ad inserire nel libro paga di un’azienda un dipendente fittizio, con relativo pagamento di stipendio, contributi e benefit. O, peggio, l’inserimento di un dipendente nel libro paga di una banca, dipendente che poi avrà accesso a conti correnti e operazioni finanziarie o di borsa. Certo, sarebbe una truffa molto sofisticata, ma non impossibile. Se qualcuno può pensarlo, allora qualcuno può realizzarlo.
L’intervento del Garante Privacy su DeepSeek
Tutto dipende sempre e solo dalla tutela dei dati personali, al momento dell’iscrizione ad un qualsiasi sito, social o contesto di rete, come le chat di intelligenza artificiale. La protezione dei dati personali è un elemento cruciale in ogni contesto online, dalle iscrizioni ai social network fino alle interazioni con chatbot basati su intelligenza artificiale.
Un recente esempio di intervento normativo legato alla protezione dei dati riguarda il blocco imposto dal Garante per la protezione dei dati personali nei confronti di DeepSeek. Il servizio di chatbot, sviluppato dalle società cinesi Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence, è stato oggetto di una limitazione immediata al trattamento dei dati degli utenti italiani. Il provvedimento è stato adottato per garantire la sicurezza dei dati, dato che le società coinvolte non hanno fornito garanzie sufficienti sulla conformità alla normativa europea. Nonostante le dichiarazioni delle aziende, secondo cui non opererebbero in Italia, l’Autorità ha avviato un’istruttoria per approfondire il caso.
La necessità di nuove strategie di difesa
Di fronte a queste minacce emergenti, molte aziende e organizzazioni si trovano totalmente impreparate. È essenziale adottare strategie di difesa avanzate per proteggere i dati e le infrastrutture digitali. Un approccio basato sulla valutazione del rischio, unito a una maggiore sicurezza degli LLM (Large Language Models) e a una formazione continua degli utenti, è indispensabile per contrastare questi attacchi.
La verità è che gli esperti di cyber security hanno sempre saputo che la situazione rischiasse di sfuggire di mano. Forse non così presto, ma è sempre stato un rischio prevedibile, e le capacità dell’IA si sviluppano più velocemente di quanto l’essere umano possa fare per contenerne i danni.
Perchè il problema non è se andrà fuori controllo, ma quando, e contenere i rischi sarà un compito estremamente complesso.
Foto copertina di Leo da Pixabay generata con IA
Potrebbe interessarti anche:
La razza umana si estinguerà a causa dell’Intelligenza Artificiale?
Il tuo medico di base sarà sostituito dall’intelligenza artificiale?
Professionisti a rischio a causa dell’Intelligenza Artificiale?
Arte e Intelligenza Artificiale. La creatività è in pericolo?
