
Un CFO deepfake ha rubato $25 milioni in una call su Zoom. Ecco perché la prossima potrebbe essere la tua azienda.
Ero al telefono con un potenziale cliente — il CFO di un'azienda manifatturiera di medie dimensioni — quando ha detto qualcosa che mi ha gelato.
"Verifichiamo già l'identità nelle videochiamate. Possiamo vederci in faccia."
Gli ho chiesto se avesse sentito parlare di quello che è successo ad Arup. Non ne sapeva nulla. Così gliel'ho raccontato: nel febbraio 2024, un dipendente dell'ufficio finanziario di Arup — lo studio di ingegneria globale dietro la Sydney Opera House — ha partecipato a una videoconferenza con il suo CFO e diversi dirigenti senior. Hanno discusso di un'operazione riservata. Il CFO gli ha ordinato di disporre un bonifico. Ha effettuato 15 bonifici per un totale di 25,6 milioni di dollari su cinque conti bancari. Ogni volto presente in quella chiamata era falso. Ogni voce era sintetica. Il CFO era un deepfake generato dall'IA. E lo erano anche gli altri dirigenti. Il dipendente era l'unico essere umano reale nella stanza.
La linea è rimasta in silenzio per una decina di secondi. Poi ha detto: "Non può essere vero."
Invece lo è. Ed è il motivo per cui ho passato l'ultimo periodo a ripensare tutto ciò che costruiamo in Veriprajna — perché la violazione di Arup non ha semplicemente messo a nudo una falla nella cybersecurity. Ha messo a nudo un problema di architettura della fiducia che la maggior parte delle aziende non ha nemmeno iniziato ad affrontare.
La notte in cui ho capito che "vedere per credere" è morto
Ho letto per la prima volta l'analisi forense della violazione di Arup a tarda sera, seduto nel mio studio di casa con una tazza di chai che si è raffreddata prima che arrivassi in fondo alla seconda pagina. Ciò che mi ha colpito non è stata la cifra — per quanto 25,6 milioni di dollari siano sbalorditivi. È stata l'eleganza dell'attacco. Nessun malware. Nessun furto di credenziali. Nessun accesso non autorizzato ai database. L'infrastruttura digitale di Arup non è mai stata violata.
Gli aggressori non hanno hackerato il sistema. Hanno hackerato l'essere umano.
Quando il volto e la voce del CFO possono essere fabbricati alla perfezione, i segnali tradizionali della fiducia si rompono. Non si indeboliscono: si rompono.
Hanno passato mesi a raccogliere video pubblicamente disponibili dei dirigenti di Arup da YouTube, interventi a conferenze e registrazioni aziendali. Hanno addestrato delle Generative Adversarial Networks — due reti neurali che competono l'una contro l'altra, una che genera contenuti falsi e l'altra che cerca di rilevarli, iterando milioni di volte finché i falsi non diventano indistinguibili dalla realtà — per creare quelli che gli esperti forensi chiamano "gemelli sintetici ad alta fedeltà". Non solo i volti. Gli schemi del parlato. Le intonazioni. Il modo in cui una persona fa una pausa prima di rispondere a una domanda.
Poi hanno inviato un'email di spear phishing a nome del "CFO" in cui si chiedeva aiuto per un'operazione riservata. Il dipendente era scettico. Ottimo istinto. Ma gli aggressori avevano una seconda mossa: lo hanno invitato a una videochiamata dal vivo in cui diversi volti familiari hanno confermato la richiesta in tempo reale.
Il suo scetticismo si è dissolto. Ovviamente. Quale persona razionale dubita di ciò che vede con i propri occhi quando quattro colleghi la stanno guardando dallo schermo?
Come si fa il deepfake di un'intera sala riunioni?

È la domanda su cui il mio team continuava a tornare. Avevamo già visto deepfake di singole persone — una voce clonata qui, un video con il volto sostituito là. Ma una videoconferenza dal vivo con più partecipanti? Sembrava un salto.
Si scopre che le barriere tecniche sono crollate più in fretta di quanto la maggior parte dei team di sicurezza immagini.
Gli aggressori hanno usato una tecnica chiamata video injection invece di un più semplice "attacco di presentazione" (in cui qualcuno tiene uno schermo davanti a una telecamera). Gli attacchi di injection inseriscono il video sintetico direttamente nel flusso di dati del software di videoconferenza tramite software di telecamera virtuale. Zoom, Teams — l'applicazione tratta il feed generato dall'IA come se provenisse da una webcam fisica. Non c'è alcun bordo dello schermo da rilevare, nessuna anomalia di profondità da segnalare. Le ricerche mostrano che gli attacchi di injection contro i fornitori di verifica dell'identità sono aumentati del 255% nel 2023, mentre gli attacchi di face swap sono cresciuti del 704%.
Ricordo di essere stato in una riunione di team in cui uno dei nostri ingegneri ha dimostrato un face swap in tempo reale usando strumenti open source. Ci ha messo circa quaranta minuti a configurarlo. Il risultato non era perfetto — c'era un leggero tremolio lungo la linea della mascella — ma su un feed Zoom compresso? Non te ne accorgeresti. E tutto questo con software gratuito e zero dati di addestramento. Gli aggressori di Arup avevano mesi di preparazione e, presumibilmente, risorse.
Il mio CTO mi ha guardato dall'altro lato del tavolo e ha detto: "Dobbiamo smettere di pensare a questo come a un problema di cybersecurity. È un problema di epistemologia. Come fa qualcuno a sapere che cosa è reale?"
Aveva ragione. E quella consapevolezza ha ridisegnato il mio modo di pensare a tutto ciò che costruiamo.
Perché la tua "strategia di IA" peggiora le cose?
Ecco la parte che la maggior parte della copertura mediatica della violazione di Arup ignora completamente: il modo in cui la maggior parte delle aziende ha adottato l'IA in realtà aumenta la loro vulnerabilità a questo tipo di attacco.
Sto parlando dell'"LLM wrapper" — l'architettura di IA aziendale oggi dominante. Prendi un'API pubblica di OpenAI o Anthropic, ci avvolgi intorno un sottile strato software, la colleghi a qualche processo aziendale e la chiami la tua strategia di IA. È rapida da implementare. È economica. Ed è fondamentalmente inadeguata per qualunque cosa abbia davvero importanza.
Tre motivi.
Primo, l'uscita dei dati dal perimetro. In un'implementazione basata su wrapper, i tuoi dati più sensibili — fogli di calcolo finanziari, memo interni, comunicazioni dei dirigenti — escono dal perimetro aziendale per essere elaborati da un cloud di terze parti. Anche se il fornitore promette di non addestrare i modelli su di essi, i dati esistono in un ambiente esterno soggetto al CLOUD Act statunitense, a rapporti opachi con sub-responsabili del trattamento e a potenziali esfiltrazioni tramite modello. Stai inviando esattamente il tipo di informazioni che servirebbero a un aggressore per costruire deepfake convincenti dei tuoi dirigenti fuori dalle tue mura.
Secondo, il divario di affidabilità. Gli LLM sono probabilistici. Predicono la parola successiva più probabile sulla base di schemi statistici, non di una comprensione ancorata alla realtà della tua azienda. Quando un agente IA riporta un prezzo, approva uno sconto o interpreta una policy, sta generando una risposta plausibile — non recuperando un fatto verificato. Negli ambienti ad alto rischio, è proprio in quel divario tra "plausibile" e "vero" che si annida la frode.
Terzo — e questo mi tormenta — il problema del "consulente disincarnato". Per studi di ingegneria come Arup, un LLM wrapper basato su testo genera consigli senza alcun ciclo di feedback integrato per verificare la sicurezza fisica o biologica. In ingegneria strutturale o in chimica, una minima variazione in un calcolo può portare a un esito catastroficamente diverso. Un wrapper che opera sulla distanza semantica anziché sulle leggi della fisica non è in grado di individuare queste deviazioni critiche. Non sa quello che non sa.
Ho scritto in modo approfondito di questa vulnerabilità architetturale nella versione interattiva della nostra ricerca — l'argomento centrale è che i wrapper creano un'illusione di intelligenza lasciando al tempo stesso l'organizzazione strutturalmente esposta.
Che cosa avrebbe davvero fermato l'attacco ad Arup?

È la domanda che ho continuato a pormi. Non "che cosa avrebbe dovuto fare diversamente Arup" — quello è fare l'allenatore a partita finita. Ma: quale architettura farebbe fallire un attacco di questo tipo?
La risposta non è una singola tecnologia. È uno stack. E parte dall'abbandonare l'idea che la conferma visiva equivalga alla verifica dell'identità.
Il battito cardiaco che non puoi falsificare
Uno degli approcci di rilevamento più affascinanti in cui mi sono imbattuto analizza le variazioni del colore del viso "indotte dal battito cardiaco". Tecnologie come FakeCatcher di Intel monitorano le micro-variazioni della tonalità della pelle — invisibili all'occhio umano — che corrispondono all'attività cardiovascolare. Il volto di un essere umano vivo cambia colore in modo impercettibile a ogni battito. Un deepfake no. O, se lo fa, il tempismo è sbagliato.
La prima volta che ne ho sentito parlare mi è sembrata fantascienza. Poi ho assistito a una demo in cui il sistema ha identificato correttamente un deepfake di alta qualità che aveva ingannato tutte le persone presenti nella stanza. Il volto sintetico aveva una texture della pelle perfetta, un sincronismo labiale perfetto, un movimento oculare perfetto. Ma nessun battito.
Un deepfake può replicare il tuo volto, la tua voce e i tuoi modi di fare. Non può replicare il tuo battito cardiaco.
Il modo in cui digiti è la tua firma
La biometria comportamentale è il livello che mi entusiasma di più, perché è quasi impossibile da falsificare. Le tue dinamiche di digitazione — la velocità, il ritmo e la pressione con cui scrivi — creano uno schema riconoscibile e unico, che appartiene solo a te. Lo stesso vale per i movimenti del mouse, la velocità con cui scorri su mobile, perfino il modo in cui passi da un'applicazione all'altra.
Immagina di costruire una baseline comportamentale per ogni dirigente senior. Durante una videochiamata, il sistema monitora costantemente se il "CFO" che scrive in chat si comporta come il vero CFO. Se la cadenza di digitazione si discosta dal profilo storico mentre viene avanzata una richiesta finanziaria insolita, il sistema la segnala automaticamente. Senza bisogno di alcun giudizio umano.
Ecco che cos'è l'autenticazione continua: non una password inserita una sola volta al login, ma una verifica costante e invisibile che la persona con cui stai parlando sia davvero chi dice di essere.
La prova crittografica che un video è reale
Invece di limitarci a cercare di rilevare i falsi, dobbiamo iniziare a verificare l'autenticità alla fonte. Lo standard C2PA — Coalition for Content Provenance and Authenticity — incorpora metadati crittografici nel momento stesso della ripresa del video: il dispositivo, l'ora, la posizione e una catena di custodia che rende evidente ogni manomissione. Se un feed video in una chiamata Teams o Zoom non dispone di queste credenziali, dovrebbe essere trattato con lo stesso sospetto di un pacchetto software non firmato.
È un cambio di mentalità. Per anni ci siamo chiesti "è falso?". La domanda migliore è: "può dimostrare di essere reale?"
L'architettura che stiamo davvero costruendo

In Veriprajna chiamiamo il nostro approccio Deep AI — non perché sia un termine di marketing, ma perché descrive un rapporto radicalmente diverso tra un'organizzazione e la sua infrastruttura di IA. Invece dell'"IA come servizio" tramite API pubbliche, costruiamo l'"IA come infrastruttura" all'interno dell'ambiente sicuro dell'organizzazione stessa.
Tre pilastri.
Il primo è la proprietà dell'infrastruttura. Implementiamo stack di inferenza completi — Private Enterprise LLM, ossia LLM privati aziendali — direttamente nel Virtual Private Cloud del cliente o nei suoi cluster Kubernetes on-premise. I dati sensibili non lasciano mai il perimetro. Non si tratta solo di una misura di sicurezza: crea asset di modello su misura che appartengono al cliente. La loro intelligenza resta sovrana.
Il secondo è quello che chiamiamo Private RAG 2.0 — una Retrieval-Augmented Generation integrata nativamente con la sicurezza interna. Se un dipendente non ha il permesso di visualizzare un documento in SharePoint, l'IA non lo recupererà per rispondere alla sua domanda. Sembra ovvio, ma la maggior parte delle implementazioni RAG tratta la knowledge base come un contenitore unico e indifferenziato. La nostra rispetta gli stessi controlli di accesso che governano il resto dell'organizzazione.
Il terzo — e quello di cui vado più orgoglioso — è il Neuro-Symbolic Sandwich. Racchiudiamo la rete neurale (l'LLM, con le sue capacità linguistiche creative) tra due livelli di logica simbolica deterministica. Il livello inferiore sanitizza gli input per prevenire la prompt injection prima che raggiungano il modello. Il livello superiore intercetta l'output del modello e lo esegue attraverso funzioni rigide e predefinite — interrogando un database SQL, controllando un sistema ERP, recuperando un prezzo verificato. Quando l'IA riporta un numero, sta estraendo un fatto, non predicendolo.
Il Neuro-Symbolic Sandwich garantisce che, quando l'IA riporta un prezzo o uno stato di autorizzazione, stia recuperando un valore deterministico da un database — non predicendolo sulla base della probabilità dei token.
C'è chi mi ha detto che tutto questo è sovraingegnerizzato. "Basta usare GPT con dei buoni prompt", mi ha detto una volta un investitore, con la sicurezza di chi non è mai stato responsabile di un bonifico. Penso al dipendente di Arup — un professionista competente che ha fatto tutto ciò che sembrava ragionevole — e so che dei prompt "abbastanza buoni" non bastano quando la posta in gioco si misura in milioni.
Per l'analisi tecnica completa di questa architettura, compresi i design pattern neuro-simbolici e il retrieval consapevole dell'RBAC, consulta il nostro paper di ricerca dettagliato.
Che cosa succede quando il CIO diventa personalmente responsabile?
C'è una dimensione legale della violazione di Arup che la maggior parte dei tecnologi non sta monitorando, e dovrebbe terrorizzare ogni CIO e CTO che legge queste righe.
I tribunali applicano sempre più spesso la cosiddetta "Impostor Rule" per le frodi sui bonifici: le perdite dovrebbero essere sostenute dalla parte che si trovava nella posizione migliore per prevenire la frode. Nel caso Arup, sebbene il dipendente sia stato ingannato, la mancata implementazione da parte dello studio di una verifica multicanale per le transazioni di importo elevato potrebbe essere considerata il principale punto di cedimento.
CIO e CTO sono dirigenti aziendali con doveri fiduciari. Man mano che le frodi rese possibili dai deepfake diventano un rischio noto e documentato — e dopo Arup lo è in modo definitivo — la mancata implementazione di controlli in grado di rilevare i deepfake potrebbe comportare una responsabilità personale se l'azienda venisse citata in giudizio dagli azionisti per negligenza. Non è un'ipotesi teorica. Il California Consumer Privacy Act, l'EU AI Act e framework come l'AI Risk Management Framework del NIST convergono tutti sull'aspettativa che le organizzazioni dispongano di difese specifiche e documentate contro gli attacchi con media sintetici.
Ho iniziato a porre ai CIO una domanda semplice in ogni incontro: "Se domani un aggressore facesse il deepfake del vostro CEO in una videochiamata e qualcuno disponesse un bonifico da $10 milioni, sareste in grado di dimostrare a un tribunale di aver adottato tutele ragionevoli?"
Il silenzio che segue mi dice tutto.
Non possiamo semplicemente insegnare alle persone a riconoscere i deepfake?
Me lo chiedono di continuo, e capisco l'istinto. È la soluzione più economica. Basta insegnare a tutti che cosa cercare — il tremolio della mascella, l'orecchio strano, l'illuminazione leggermente sbagliata.
Ecco il problema: il rilevamento a occhio nudo è una corsa agli armamenti che hai già perso. Gli artefatti rilevabili nei deepfake del 2023 sono in gran parte assenti nei deepfake del 2025. La tecnologia migliora più in fretta di quanto la percezione umana riesca ad adattarsi. E in una videochiamata compressa, con un'illuminazione mediocre e una banda intermittente — il che descrive la maggior parte delle chiamate Zoom aziendali — persino i deepfake dell'attuale generazione sono di fatto invisibili.
La formazione aiuta, ma non nel modo in cui la maggior parte delle persone pensa. L'obiettivo non è trasformare i dipendenti in rilevatori di deepfake. È costruire quella che io chiamo una cultura dello scetticismo legittimato — premiare chi mette in discussione le richieste sospette, anche quando sembrano provenire dal CEO. Il primo istinto del dipendente di Arup è stato quello di essere scettico verso l'email di phishing. Quell'istinto era corretto. È stato sopraffatto dalla riprova sociale di una videochiamata con volti familiari.
La soluzione è procedurale, non percettiva. Le transazioni di importo elevato richiedono una verifica out-of-band: una chiamata diretta a un numero di telefono verificato in anticipo, un codice di autenticazione concordato in precedenza e condiviso attraverso un canale separato, oppure una doppia autorizzazione da parte di qualcuno che non era presente alla chiamata originale. La videoconferenza non può più essere lo standard di riferimento per l'autenticazione dell'identità nelle transazioni finanziarie. Punto.
Il progetto architettonico da 25 milioni di dollari
Continuo a tornare su una cosa che mi disturba nel modo in cui viene raccontata di solito la storia di Arup. La si presenta come un monito — "guardate quanto stanno diventando sofisticati i cattivi". Ed è vero, ma è incompleto.
La lezione più profonda è architetturale. I sistemi digitali di Arup erano a posto. I loro firewall hanno retto. La loro crittografia ha funzionato. L'attacco è riuscito perché l'architettura della fiducia dell'organizzazione — l'insieme di assunti su come viene verificata l'identità e vengono autorizzate le decisioni — non si era evoluta per tenere conto di un mondo in cui i media sintetici sono economici, convincenti e in tempo reale.
La maggior parte delle organizzazioni con cui parlo si trova nella stessa situazione. Hanno investito pesantemente nella difesa perimetrale, lasciando il livello umano — il livello che autorizza davvero i bonifici, approva i contratti, firma le specifiche ingegneristiche — protetto da nient'altro che dall'assunto che volti e voci siano difficili da falsificare.
Quell'assunto è morto in una sala riunioni di Hong Kong nel febbraio 2024. La domanda è se la tua organizzazione aggiornerà la propria architettura della fiducia prima o dopo aver pagato la propria retta da $25 milioni.
La violazione di Arup non è stata un fallimento della cybersecurity. È stata un fallimento dell'architettura della fiducia — e la maggior parte delle organizzazioni non aggiorna la propria dall'epoca in cui i volti non si potevano falsificare.
Non sto usando mezzi termini. Le organizzazioni che si muovono adesso — implementando un'infrastruttura di IA sovrana, adottando la biometria comportamentale, esigendo la provenienza crittografica dei feed video e integrando interruttori di sicurezza procedurali in ogni decisione ad alto valore — definiranno la prossima era della sicurezza aziendale. Quelle che aspettano diventeranno casi di studio.
Il costo di un deepfake capace di ingannare il tuo team finanziario sta scendendo verso lo zero. Il costo di essere ingannati no.


