L’intelligenza artificiale sta rivoluzionando anche il mondo delle truffe digitali, e non in senso positivo. Un nuovo studio condotto da un team di ricercatori di cybersecurity ha dimostrato che i modelli linguistici di grandi dimensioni possono creare campagne di phishing personalizzate con tassi di successo praticamente identici a quelli degli esperti umani, ma a una frazione del costo. I risultati, pubblicati sulla rivista Expert Systems with Applications, sollevano interrogativi urgenti sulla sicurezza digitale nell’era dell’intelligenza artificiale. La ricerca ha coinvolto 101 partecipanti divisi in quattro gruppi sperimentali, ciascuno esposto a diverse tipologie di email fraudolente.
Il gruppo di controllo, che ha ricevuto messaggi di phishing generici e poco personalizzati, ha registrato un tasso di click del 12 per cento. Una percentuale già preoccupante, ma che impallidisce di fronte ai risultati degli altri gruppi. Le email create da esperti umani hanno raggiunto un tasso di successo del 54 per cento, un dato che conferma quanto la personalizzazione sia cruciale nelle truffe digitali moderne. La vera sorpresa arriva però con i risultati delle campagne automatizzate. Le email generate completamente dall’intelligenza artificiale, senza alcun intervento umano, hanno ottenuto un tasso di click del 54 per cento, esattamente identico a quello degli esperti umani. Quando invece è stato utilizzato un approccio ibrido, con l’AI supportata da un supervisore umano, il tasso è salito leggermente al 56 per cento.
In sostanza, l’automazione completa funziona quanto un esperto di phishing in carne e ossa. Come ci riesce l’AI? Il sistema sviluppato dai ricercatori utilizza una combinazione di tecniche sofisticate. Prima di tutto, raccoglie informazioni pubbliche sulla vittima designata attraverso il web: profili social, attività professionale, interessi dichiarati, network di contatti. Questi dati vengono poi analizzati per creare un profilo psicologico e comportamentale della persona. I ricercatori hanno scoperto che lo strumento automatizzato è riuscito a produrre profili accurati nell’88 per cento dei casi, una percentuale sorprendentemente alta che dimostra quanto le nostre tracce digitali possano essere rivelanti.
Una volta creato il profilo, l’AI genera messaggi personalizzati che sfruttano le vulnerabilità cognitive identificate: urgenza, autorità, paura, curiosità. Il tutto con un linguaggio naturale, privo degli errori grammaticali e delle stranezze sintattiche che tradizionalmente hanno aiutato le persone a riconoscere i tentativi di truffa. I modelli linguistici moderni, come quelli utilizzati in ChatGPT o Claude, sono infatti capaci di produrre testi in italiano fluente e convincente, eliminando uno dei segnali d’allarme più affidabili. L’aspetto forse più inquietante della ricerca riguarda l’analisi economica. I ricercatori hanno calcolato che l’automazione tramite AI può aumentare la redditività delle campagne di phishing fino a 50 volte rispetto ai metodi tradizionali.
Questo perché i costi operativi si riducono drasticamente: non servono più team di truffatori esperti che passano ore a studiare le vittime e a comporre messaggi personalizzati. Un singolo operatore può gestire migliaia di campagne simultanee, con margini di profitto che diventano astronomici. Non tutto è perduto, però. La stessa ricerca ha esplorato anche le capacità difensive dei modelli linguistici, con risultati promettenti. I ricercatori hanno testato cinque sistemi AI popolari per valutare la loro capacità di identificare email di phishing. Claude 3.5 Sonnet ha ottenuto i risultati migliori, raggiungendo un tasso di rilevamento del 97,25 per cento su un dataset di 381 email, senza generare falsi positivi.
In pratica, il sistema è riuscito a identificare correttamente quasi tutte le truffe senza etichettare erroneamente messaggi legittimi come sospetti. Una scoperta interessante riguarda il modo in cui vengono formulate le richieste all’AI. I modelli funzionano significativamente meglio quando vengono preparati alla sospizione, cioè quando viene chiesto loro esplicitamente di valutare se un’email sia sospetta piuttosto che semplicemente di determinarne l’intenzione generale. Questo suggerisce che il modo in cui interagiamo con questi sistemi può fare la differenza nella loro efficacia.
La ricerca, che ha ricevuto l’approvazione etica da un comitato universitario, evidenzia la natura dual-use dell’intelligenza artificiale nel dominio della cybersecurity. Gli stessi strumenti che possono essere utilizzati per lanciare attacchi sempre più sofisticati possono anche essere impiegati per costruire difese più robuste. Si profila quindi una sorta di corsa agli armamenti digitale, dove attaccanti e difensori utilizzano tecnologie simili in un gioco del gatto e del topo sempre più complesso. Dal lancio di ChatGPT nel novembre 2022, che ha raggiunto 100 milioni di utenti in appena due mesi, l’adozione dei modelli linguistici è cresciuta in modo esplosivo.
A fine 2025, ChatGPT conta circa 800 milioni di utenti attivi settimanali, mentre Google Gemini è passato da 450 milioni di utenti mensili a luglio 2025 a oltre 650 milioni a ottobre dello stesso anno. Questa diffusione capillare significa che le tecnologie necessarie per automatizzare il phishing sono letteralmente nelle mani di chiunque, con costi di accesso minimi o nulli. Le agenzie di sicurezza nazionale statunitensi hanno già identificato il phishing come una preoccupazione significativa per la sicurezza nazionale. L’FBI ha riportato un aumento superiore al 200 per cento degli incidenti di phishing tra il 2019 e il 2023, un trend che la disponibilità di strumenti AI potrebbe accelerare ulteriormente. Gli attacchi di social engineering rimangono efficaci perché sfruttano le stesse vulnerabilità cognitive umane identificate dai ricercatori quasi vent’anni fa, debolezze che non sono cambiate nonostante la crescente consapevolezza del problema.
La sfida per individui, organizzazioni e governi è quindi duplice. Da un lato, serve investire in sistemi di difesa basati sull’AI che possano rilevare automaticamente i tentativi di phishing sempre più sofisticati. Dall’altro, è necessario riconoscere che la tecnologia da sola non basta: la formazione continua degli utenti, l’adozione di protocolli di verifica rigorosi e una cultura della sicurezza digitale rimangono fondamentali. In un panorama dove un truffatore può lanciare migliaia di attacchi personalizzati con pochi click, la difesa richiede un approccio stratificato che combini intelligenza artificiale, procedure organizzative solide e consapevolezza umana.
