“Ehi, ho ricevuto una mail da Netflix. Diceva che avevo problemi di pagamento. C’era il logo, il mio nome, perfino la foto del mio profilo. Ho cliccato.”
Il messaggio non veniva da Netflix. Era stato scritto da un’intelligenza artificiale. Il profilo, generato da una GAN. Il nome, preso da un data leak. Il risultato? Password rubate. Identità compromessa. E un attacco perfettamente calibrato sulla vittima.
Benvenuti nell’era dell’hacking aumentato dall’AI.
Non parliamo più del classico hacker col cappuccio, ma di modelli generativi in grado di produrre attacchi su misura, adattivi, invisibili. Phishing scritto meglio del tuo copywriter. Deepfake che imitano la voce di tuo padre. Bot che ti scrivono su Instagram fingendosi un ex.
La domanda è semplice:
Chi ci proteggerà da qualcosa che ancora non capiamo?
AI e cyberattacchi: il salto di specie
L’intelligenza artificiale, in sé, non è né buona né cattiva. Ma nelle mani sbagliate diventa un’arma.
Oggi esistono tool di AI open-source capaci di:
-
analizzare le abitudini social di una persona in pochi secondi;
-
generare email personalizzate in base al tono di voce;
-
creare facce false realistiche al 100% con GAN (reti generative avversarie);
-
clonare una voce da 3 secondi di audio.
Tutto questo è già automatizzabile. In pratica, è l’hacker che si moltiplica da solo.
E qui sta il vero salto di paradigma: non serve più un hacker esperto. Serve solo l’AI giusta.
L’intelligenza criminale diventa predittiva
Immagina un attacco phishing. Tradizionalmente, era generico: "Caro utente", link sospetto, ortografia traballante.
Oggi, l’AI può:
-
scrivere email perfette nella tua lingua;
-
citare eventi reali (es. "il tuo pagamento del 3 luglio è fallito");
-
usare emoji, tono amichevole e riferimenti precisi alla tua attività online.
In più, grazie ai data leak (es. quelli di Facebook, LinkedIn o Instagram), può sapere con chi parli, dove vai, quali aziende usi.
Risultato?
Attacchi che sembrano umani. Ma non lo sono.
E sono molto più convincenti.
Il diritto non è ancora pronto
Il nostro ordinamento ha strumenti per combattere i reati informatici (art. 615-ter e ss. c.p. – accesso abusivo, frodi informatiche, ecc.), e il GDPR prevede la protezione dei dati personali da trattamenti non autorizzati.
Ma cosa succede quando il danno non è causato da una persona, bensì da un algoritmo generativo che ha appreso da milioni di dati pubblici, chi risponde?
-
L’hacker che ha usato l’AI?
-
Il creatore del modello?
-
Nessuno, perché non sappiamo nemmeno chi è?
Il problema legale oggi è questo: l’AI oscura la responsabilità.
E rende difficile dimostrare chi ha fatto cosa.
Cosa possiamo fare realmente?
Difendersi da un attacco AI non è impossibile. Ma richiede consapevolezza.
Ecco alcune azioni concrete che chiunque può iniziare a fare:
-
Sii scettico. Anche se il messaggio sembra “vero”. L’AI può imitare perfettamente uno stile.
-
Non cliccare mai su link sospetti. Se hai dubbi, entra manualmente nel sito ufficiale.
-
Usa l’autenticazione a due fattori (2FA). Sempre.
-
Limita i dati che condividi online. Ogni post è una tessera che l’AI può usare contro di te.
-
Aggiorna le password. Spesso. E non usare la stessa ovunque.
-
Chiediti: questa persona è reale? Su Instagram, Telegram o WhatsApp, una foto e un nome non bastano più.
Il futuro è ora e non possiamo ignorarlo
Se nel 2023 abbiamo parlato di ChatGPT, nel 2025 parliamo già di fraude-as-a-service con AI, attacchi vocali simulati, malware scritti da LLM.
Non è fantascienza. È la realtà.
La difesa non può più essere solo tecnica.
Deve essere culturale, giuridica, educativa.
E soprattutto: deve iniziare ora.
E se domani la tua voce chiedesse un bonifico a tua madre?
Non saresti stato tu. Ma un modello allenato con i tuoi messaggi vocali.
Ricorda: se un’intelligenza artificiale ti osservasse...
saprebbe già cosa scrivere per farti cliccare.
A cura degli studenti sotto la Facoltà di Giurisprudenza e Ingegneria Informatica
