La CEO fraud esiste da decenni: l'attaccante si finge il capo e ordina al CFO o all'amministrativo un bonifico urgente verso un fornitore "nuovo". Prima si faceva via email. Oggi col deepfake è un'altra cosa.
Caso emblematico: Hong Kong, gennaio 2024. Un dipendente di una multinazionale partecipa a una videoconferenza con il CFO e altri colleghi. Tutti deepfake. Trasferisce 25 milioni di dollari a un conto malevolo. Solo dopo si accorge che era tutto generato.
Schema completo:
- Reconnaissance su LinkedIn, social, sito aziendale: chi è il CEO, chi è il CFO, gerarchia.
- Raccolta materiale audio/video pubblico (interviste, conference call su YouTube, post Instagram).
- Generazione voce/video sintetici con tool consumer (HeyGen, ElevenLabs, ecc.).
- Ingaggio del bersaglio (CFO, contabile, ufficio acquisti) con email iniziale "il capo ti chiamerà".
- Videocall o telefonata deepfake con ordine di bonifico urgente, riservato, "non parlarne con nessuno".
Difese aziendali serie:
- Doppia firma per bonifici sopra una soglia, sempre.
- Verifica out-of-band: ricontatto su canale diverso e noto (numero registrato in rubrica, non nuovo).
- Codice o domanda di sicurezza in caso di richieste urgenti dal CEO.
- Formazione del personale: simulazioni reali, non solo slide.
- Policy "no urgenze segrete": i bonifici non urgenti non esistono. Se è urgente, è sospetto.
In Italia ABI e Banca d'Italia hanno pubblicato linee guida 2024 sulla prevenzione delle frodi sintetiche. Per PMI il riferimento è il CSIRT Italia (Computer Security Incident Response Team).