Allerta frodi telefoniche: i criminali ora clonano gli ID chiamante usando strumenti vocali di IA per rubare dati bancari

Potrebbe essere la tua banca, l’assistenza di un servizio che usi ogni giorno o l’ufficio IT della tua azienda. Ti senti tranquillo, perché “se compare quel numero” allora dev’essere autentico.

È proprio su questo automatismo che si basano le nuove frodi telefoniche: non cercano solo di convincerti con le parole, ma usano strumenti automatizzati e voci generate dall’IA per accompagnarti passo dopo passo fino a un accesso bancario rubato. Non serve più il truffatore improvvisato: oggi basta una procedura studiata bene.

La parte più inquietante? Puoi fare tutto “nel modo giusto” e perdere comunque il controllo del conto, perché qualcuno ti porta — con calma e autorevolezza — a completare i controlli di sicurezza al posto suo, tenendoti in linea.

La truffa telefonica si è trasformata in una macchina

Le vecchie truffe vivevano di urgenza e improvvisazione: una voce agitata, una storia confusa, richieste assurde. Oggi molti attacchi somigliano a un vero servizio clienti, con frasi curate e tempi perfetti.

I criminali usano kit pronti per il “vishing”: pacchetti acquistabili che indicano cosa dire e cosa fare in ogni momento. Tu parli con una persona, ma dietro c’è una console che suggerisce le battute e coordina l’operazione.

Questo rende la frode più “professionale” e soprattutto scalabile: un singolo operatore può gestire più vittime come in un mini call center. Tu senti una voce sicura; loro vedono i tuoi tentativi di accesso in tempo reale.

Il trucco che ti incastra mentre credi di proteggerti

Il cuore della tecnica è l’orchestrazione della sessione in tempo reale: tu apri una pagina, inserisci i dati e, nello stesso istante, un sistema replica ogni tua azione e la trasferisce sul sito vero. A te sembra tutto corretto, perché la grafica “è quella”.

Quando digiti username e password, il kit li intercetta e li usa subito per entrare davvero nel tuo account. Non è un furto “dopo”: è un furto “mentre”.

Poi arriva il passaggio decisivo: l’autenticazione a due fattori. Il truffatore ti dice che quel codice o quella notifica servono per bloccare un pagamento sospetto, e tu finisci per autorizzare l’accesso dell’attaccante.

Perché il numero sul display non vale più come prova

Vedere il numero ufficiale della banca ti rassicura, ma oggi è facile falsificare l’ID chiamante. Ti sembra una chiamata “dall’interno”, e invece arriva da tutt’altra parte.

Qui entra in gioco l’IA vocale: alcuni gruppi usano voci sintetiche o clonate per imitare tono, ritmo, accento, perfino quel modo di parlare “da operatore”. Se hai già ascoltato messaggi registrati di un’azienda o di un call center, la tua mente tende ad accettare quel suono come familiare.

Il risultato è un paradosso: più la chiamata suona educata e competente, più rischi di abbassare la guardia. E se l’interlocutore conosce il tuo nome o qualche dettaglio, la trappola può chiudersi in pochi minuti.

I segnali che dovrebbero farti chiudere subito la chiamata

Una truffa moderna non ti chiede “la password” in modo diretto: ti chiede collaborazione. Ti propone una procedura “di sicurezza”, ti fa aprire un sito, ti guida con pazienza mentre tu credi di mettere al sicuro i tuoi soldi.

Diffida quando senti frasi come “devi agire entro 10 minuti”, “non usare l’app come fai di solito”, “ti mando io il link corretto”. La fretta serve a impedirti una verifica banale: richiamare tu, usando un numero ufficiale che hai già.

Un altro campanello d’allarme: ti chiedono di approvare notifiche, leggere codici o confermare numeri sullo schermo. Se qualcuno ti chiede di “confermare per annullare”, spesso ti sta chiedendo di “confermare per entrare”.

Come ottengono il tuo numero e perché sanno già troppo

Non chiamano più a caso: recuperano numeri da violazioni di dati, liste vendute, moduli compilati online, profili social, vecchie truffe. Una volta che il tuo contatto finisce in un elenco, può circolare per mesi tra gruppi diversi.

Con un paio di dettagli pubblici riescono a costruirsi credibilità: città, lavoro, banca, corriere preferito, abitudini. Non serve che sappiano tutto: basta che sappiano “quanto basta” per sembrarti legittimi.

Da lì parte la recita: una transazione sospetta, un accesso da un Paese estero, un dispositivo non riconosciuto. E tu, per paura, inizi a seguire istruzioni che a mente fredda non avresti mai accettato.

La difesa che ti restituisce controllo, senza diventare paranoico

La buona notizia è che difendersi è possibile e non richiede competenze da esperto. Serve un’abitudine: se una chiamata ti spinge ad agire subito, sei tu a scegliere canale e tempi.

Riaggancia, fai un respiro, poi contatta l’ente da una fonte verificata: numero sul retro della carta, app ufficiale, area clienti che apri tu digitando l’indirizzo. Se era davvero la banca, apprezzeranno la tua prudenza.

Valuta metodi di accesso più resistenti al phishing, come passkey o chiavi hardware, quando il tuo istituto li mette a disposizione. Non sono magie, ma rendono molto più difficile far passare un sito falso per quello vero.

Azioni pratiche da fare oggi

• Non leggere mai al telefono codici OTP, PIN o codici ricevuti via SMS o app.
• Non approvare notifiche di accesso se qualcuno te lo chiede durante una chiamata.
• Se ti indicano un sito, non cliccare: apri tu l’app o digita tu l’indirizzo che conosci.
• Se la voce insiste sull’urgenza, interrompi e richiama tramite un numero ufficiale già in tuo possesso.
• Aggiorna sistema operativo e app bancaria, perché alcune protezioni dipendono dalle versioni più recenti.
• Chiedi alla banca se supporta passkey o dispositivi di sicurezza fisici per l’accesso.