La cyber security aziendale deve prendere le misure con il progresso delle tecniche di voice cloning, la sintesi vocale potenziata dalle IA che consente di generare copie pressoché perfette di una voce.Ciò che fino a pochi anni fa richiedeva ore di registrazioni di alta qualità è oggi producibile con pochi secondi della voce da clonare, indicativamente dieci, ed è di una qualità sufficiente a ingannare molti sistemi automatici e anche l’orecchio umano.Una realtà che riguarda anche l’Italia basti pensare che, all’inizio del 2025, dei cyber criminali hanno emulato la voce del ministro della Difesa Guido Crosetto, per imbrogliare noti imprenditori italiani.I truffatori non sono riusciti a irretire tutti, alcuni imprenditori hanno mangiato la foglia ma oggi – a distanza di circa 18 mesi e grazie alle evoluzioni più recenti delle IA generative, questi tranelli sono più sofisticati e credibili.Questa rapidità di esecuzione significa che ogni dirigente che abbia mai pubblicato un’intervista o che partecipato a un podcast è potenzialmente esposto al rischio, perché il materiale necessario al voice cloning è – non di rado – pubblico e disponibile online.Pierluigi Paganini, Ceo Cybhorus e direttore dell’Osservatorio sulla cybersecurity Unipegaso, offre degli spunti attorno ai quali costruire procedure resilienti.Il salto di qualità che rende temibile il voice cloningIl salto di qualità tecnologico avvenuto tra il 2023 e il 2025 ha limato le asperità che rendevano il voice cloning riconoscibile, eliminando cadenze innaturali e le pause fuori luogo, riuscendo inoltre a conferire alla voce clonata una forma di emotività correlata al contesto delle frasi pronunciate.Oggi, strumenti commerciali dal costo contenute e soluzioni Open source hanno reso questa tecnologia accessibile a chiunque, anche a individui con competenze tecniche minime, abbattendo la barriera d’ingresso per le truffe su larga scala e restituendo voci che rispecchiano la variabilità naturale, difetti di pronuncia e inflessioni spontanee, respirazione, sforzo e risate.Riconoscere un deepfake diventa sempre più difficile.I vettori di attaccoI vettori di attacco si sono evoluti oltre la semplice telefonata diretta, includendo anche videoconferenze su piattaforme come Zoom o Teams dove l’audio clonato viene affiancato da deepfake video, messaggi in segreteria telefonica e persino sistemi di phishing automatizzato di massa.Celebre il caso dell’azienda di Hong Kong che si è vista sottrare oltre 25 milioni di dollari a causa di diversi bonifici effettuati da una dipendente che ha eseguito gli ordini impartitile durante una videoconferenza deepfake.I cyber criminali sfruttano però anche canali quali le app di messaggistica istantanea, e ciò vale soprattutto tra le fila delle piccole e medie imprese che, peraltro, sono l’ossatura dell’economia italiana.Voice cloning, i rischi per la privacyPer quanto riguarda la privacy, la clonazione della voce è un assist al furto di identità digitale e compromette la riservatezza delle comunicazioni personali, con l’ulteriore rischio che i sistemi di rilevamento possano diventare veicoli per il recupero non autorizzato di contenuti sensibili.Emergono anche criticità legate all’ equità e alla discriminazione, poiché i sistemi di difesa attuali possono manifestare pregiudizi sistematici verso specifici gruppi demografici, come anziani o persone con particolari accenti o menomazioni del linguaggio, rendendo necessaria una riflessione etica e normativa per garantire una protezione equa e trasparente.Come difendersiPer una difesa efficace non bastano né le norme né la tecnologia, è opportuno includere processi organizzativi solidi.L’ingegner Paganini offre dei suggerimenti in merito: “Le imprese devono assumere che una voce o un video non siano più una prova sufficiente dell’identità di una persona.Ogni richiesta urgente di pagamento, modifica delle coordinate bancarie o condivisione di informazioni riservate deve essere verificata attraverso un secondo canale indipendente, per esempio richiamando un numero già noto o utilizzando un sistema aziendale certificato.Per le operazioni più critiche è opportuno introdurre la doppia autorizzazione, prevedendo che la richiesta venga validata da almeno due persone secondo procedure prestabilite.Il vero obiettivo, però, è aumentare la resilienza della componente umana: formazione continua, esercitazioni e procedure semplici aiutano i dipendenti a riconoscere e contrastare attacchi di ingegneria sociale sempre più convincenti, soprattutto quando sfruttano deepfake e strumenti di intelligenza artificiale”, conclude l’esperto.L’istituzione di una “parola d’ordine” nota solo a dirigenti e dipendenti non può bastare: infatti, se con il social engineering gli attaccanti scoprono password e dati di autenticazione, entrare in possesso di una frase di due o tre parole non è proibitivo.
Voice cloning, le nuove frontiere delle truffe aziendali - Cyber Security 360
Bastano 10 secondi di audio per ricostruire la voce di una persona. Il voice cloning aiuta chi vuole mettere a segno la classica "truffa del Ceo" ma non solo, perché le ricadute invadono anche la sfera della privacy







