Negli ultimi mesi si è osservata una crescente adozione di strumenti basati su intelligenza artificiale per condurre campagne fraudolente ai danni di piccoli e medi esercenti online.

Le tecnologie generative, inizialmente sviluppate per facilitare attività creative o migliorare l’interazione uomo-macchina, stanno venendo impiegate anche per riprodurre in modo illecito siti web legittimi, sottrarre dati agli utenti e danneggiare la reputazione dei brand.

Il fenomeno colpisce in particolare le PMI, spesso sprovviste di strutture di cyber security avanzate e quindi maggiormente esposte agli effetti di questi attacchi.

AI generativa e frodi: il caso dell’eCommerce giapponese

Un caso emblematico ha coinvolto il negozio online Oishya, specializzato nella vendita di coltelli artigianali giapponesi.

L’azienda è stata vittima di una sofisticata truffa in lingua francese, nella quale soggetti ignoti hanno creato una replica quasi identica del sito ufficiale e, tramite profili social, hanno diffuso messaggi ingannevoli ai follower del marchio.

L’offerta fasulla prometteva la vincita di un coltello gratuito, richiedendo soltanto il pagamento delle spese di spedizione. Circa un centinaio di persone ha effettivamente effettuato il pagamento, prima che l’attacco venisse individuato.

Il sito clonato con l’AI generativa

La replica del sito, fedele nei dettagli grafici e nella struttura, è stata presumibilmente generata attraverso uno dei numerosi strumenti oggi disponibili online.

Alcune piattaforme, come Llama Press, consentono la creazione di siti web clonati semplicemente a partire da descrizioni testuali, senza richiedere particolari competenze tecniche.

L’efficacia di questi strumenti è legata alla combinazione di modelli linguistici di nuova generazione e template preconfigurati capaci di emulare fedelmente le caratteristiche di layout, contenuto e branding di un sito reale.

Secondo le dichiarazioni dello sviluppatore della piattaforma, l’intento del servizio sarebbe legittimo, per esempio in fase di migrazione di un sito verso nuovi servizi di hosting.

Tuttavia, l’assenza di controlli rigorosi ex ante sulle finalità d’uso espone tali tecnologie a impieghi fraudolenti.

Campagne di phishing sfruttando l’AI generativa

Secondo quanto riportato da Rob Duncan, vicepresidente della strategia presso la società di sicurezza informatica Netcraft, i nuovi strumenti basati su intelligenza artificiale consentono a singoli attori con scarsa esperienza tecnica di orchestrare campagne di phishing e impersonificazione in modo estremamente credibile.

Con un investimento minimo è possibile replicare il linguaggio di un’azienda, imitare le modalità di comunicazione dei suoi dipendenti o fingere di essere un partner commerciale.

Le comunicazioni fraudolente, spesso diffuse tramite email o social media, inducono le vittime ad accedere a link contraffatti che replicano fedelmente i siti autentici, ottenendo così accesso a dati personali o informazioni finanziarie.

L’Ai generativa open source amplifica il rischio frodi

Il fenomeno è reso ancor più preoccupante dalla disponibilità di servizi AI open source o a basso costo, spesso ospitati su infrastrutture decentralizzate o difficili da monitorare.

A differenza delle principali piattaforme commerciali – come quelle sviluppate da OpenAI o Anthropic – che applicano filtri preventivi per limitare l’abuso, molti servizi minori non implementano meccanismi di controllo altrettanto stringenti.

Di conseguenza, è possibile aggirare le barriere etiche e legali imposte dagli sviluppatori più noti semplicemente spostandosi verso alternative meno regolamentate.

L’impatto e le contromisure delle Pmi

L’impatto di queste tecniche non si limita al danno economico diretto subito dagli utenti truffati, ma si estende anche alla reputazione e alla fiducia nei confronti del marchio imitato.

Le PMI, spesso prive di risorse dedicate alla gestione delle crisi reputazionali, si trovano a dover affrontare un duplice problema: da un lato, la perdita di credibilità agli occhi dei clienti, dall’altro, la difficoltà nel rispondere tempestivamente alla diffusione di contenuti ingannevoli.

In risposta all’attacco, la titolare di Oishya ha avviato una campagna di sensibilizzazione rivolta ai propri clienti, finalizzata a fornire strumenti per riconoscere le comunicazioni ufficiali da quelle fraudolente e ad accompagnare le vittime nella richiesta di rimborso tramite gli istituti finanziari competenti.

L’episodio ha evidenziato la necessità, per le aziende di piccole e medie dimensioni, di adottare contromisure preventive anche in assenza di attacchi diretti.

Tra le pratiche consigliate rientrano l’attivazione di sistemi di monitoraggio per l’identificazione di domini simili o sospetti, l’impiego di strumenti di autenticazione a più fattori per l’accesso ai canali ufficiali, e la formazione continua del personale sulle tecniche di ingegneria sociale più diffuse. Inoltre, l’implementazione di una policy di comunicazione trasparente con la clientela può contribuire a mitigare gli effetti reputazionali in caso di incidenti.

La regolamentazione dell’AI generativa contro il rischio frodi

In ambito istituzionale, il fenomeno solleva interrogativi in merito allaregolamentazione degli strumenti generativi e all’eventuale responsabilità dei fornitori di tecnologia.

Sebbene alcune piattaforme dichiarino di delegare i controlli di sicurezza ai provider di modelli linguistici sottostanti, tale approccio può risultare insufficiente laddove i meccanismi di verifica non siano integrati nel processo stesso di generazione.

L’attuale assenza di uno standard condiviso in materia di “AI misuse prevention” rappresenta un ulteriore fattore di vulnerabilità.

Il problema, infine, si inserisce in un contesto più ampio di evoluzione delle minacce digitali.

Se fino a pochi anni fa le attività di phishing e spoofing richiedevano competenze informatiche specifiche, l’avvento delle intelligenze artificiali accessibili anche ai non esperti ha ridotto drasticamente la soglia di ingresso per i potenziali attori malevoli.

In questo scenario, le PMI rappresentano un bersaglio privilegiato per via della loro struttura organizzativa più snella, della minore attenzione ai protocolli di sicurezza e dell’elevata dipendenza da canali digitali per la gestione della clientela.

I casi d’uso improprio

Sul piano giuridico, la crescente accessibilità delle tecnologie generative solleva dubbi in merito alla responsabilità civile e penale nei casi di uso improprio. In assenza di una cornice normativa chiara, è spesso difficile attribuire colpe dirette ai fornitori di piattaforme AI che permettono la creazione di contenuti fraudolenti.

Le legislazioni nazionali ed europee si trovano a dover bilanciare la promozione dell’innovazione con l’urgenza di proteggere consumatori e imprese da nuove forme di criminalità digitale.

L’introduzione di meccanismi di tracciabilità, trasparenza algoritmica e obblighi di due diligence potrebbe rappresentare una delle prossime sfide regolatorie.

Prospettive future

Alla luce di queste dinamiche, appare fondamentale un aggiornamento delle strategie di difesa a misura di PMI, nonché un dialogo aperto tra sviluppatori di tecnologia, autorità di regolamentazione e operatori del settore per definire criteri condivisi di responsabilità e prevenzione.

L’educazione digitale dei consumatori, l’adozione di strumenti di verifica dell’identità dei siti web e una maggiore trasparenza sugli algoritmi di generazione automatica possono rappresentare un primo passo verso una risposta sistemica a un fenomeno destinato a crescere in complessità e diffusione.