“Zero day” è l’allarme lanciato dalla Banca centrale europea sull’utilizzo criminale dell’Intelligenza artificiale, che penetra le difese informatiche senza possibilità di erigere uno scudo. Nel mirino i potenti modelli creati da Anthropic come Mythos, che sarebbe in grado di individuare le falle nei sistemi informatici bancari, decodificare gli aggiornamenti per correggere le vulnerabilità trasformandole rapidamente in cavalli di Troia. Non è un caso che per gli ultimi prodotti della società leader dell’Ia, fondata dai fratelli italo-americani Dario e Daniela Amodei, Fable 5 e Mythos 5, sia stato proibito, a metà luglio, dal governo Usa l’accesso «per qualsiasi cittadino straniero».
L’Intelligenza artificiale sta mandando in soffitta le password ed i computer quantistici faranno il resto. Un esperto informatico, che preferisce rimanere nell’anonimato conferma a Panorama: «Se con un pc normale impiegheresti 100 anni per craccare una crittografia Aes, lo standard globale per la cifratura dei dati, uno quantistico lo farà in 2-3 secondi».
Per il cittadino medio, sicurezza digitale significa soprattutto password della posta elettronica, della banca in rete o sul cellulare, dei servizi sanitari, degli acquisti online e dei social network. «Le password ci hanno accompagnato per decenni, ma oggi mostrano tutti i loro limiti. Sono fragili, spesso usate male e sempre più esposte a furti e truffe. Il quantum computing, nel medio periodo, renderà ancora più urgente il passaggio a sistemi di autenticazione più evoluti» sottolinea a Panorama Anna Vaccarelli, presidente di Clusit, Associazione italiana per la sicurezza informatica. Nel giro di 5 anni potrebbero diventare obsolete. «Esiste un fantastico sito con le password più usate» ricorda. «La prima è 1234567, ma va forte anche la data di nascita, il nome del cane, la città dove vivi o altre banali come “admin”, al secondo posto. Se la riesci a ricordare non è buona».
L’Ia sfrutta la velocissima capacità di associare parole, lettere e così via. Le difese attuali, a portata di tutti, «sono le applicazioni che generano ogni volta password complesse, come Authenticator (scaricabile sul telefonino, ndr), ma l’accesso iniziale può avvenire anche solo con il riconoscimento facciale o l’impronta digitale».
David Gubiani di Check Point Software Technologies, che fornisce sicurezza informatica ad aziende e governi sostiene che «un tempo le password erano le chiavi del castello. Oggi sono una risorsa a rischio, oggetto di un intenso traffico sul Dark Web». Dove esiste un vero e proprio listino prezzi: un account Facebook hackerato viene venduto a circa 45 dollari, in discesa per eccesso di offerta di dati rubati. Quello di Gmail sale a 60-65 dollari. Il numero “segreto” Ccv delle carte di credito si vende per ancora meno, dai 10 ai 40 dollari. Gli accessi alle banche in rete variano dai 200 ai 1.700 dollari, a seconda dell’importanza del saldo. Il mercato più redditizio è quello delle reti aziendali: i prezzi medi sono attorno ai 2.700 dollari, ma l’accesso amministrativo con privilegi elevati è stato venduto anche a 113 mila dollari. Per assurdo la falla più massiccia riguarda una moltitudine di dipendenti, che per sbaglio inseriscono informazioni sensibili aziendali direttamente negli strumenti di Ia. Nel marzo di quest’anno, secondo Check Point Research, «1 su 28» istruzioni o richieste testuali a modelli di intelligenza artificiale come ChatGPT, Gemini, Claude o altri “inviati da ambienti aziendali presentava un alto rischio di fuga di dati sensibili, con un impatto sul 91% delle organizzazioni che utilizzano regolarmente strumenti di intelligenza artificiale generativa». Non solo: gli abbonamenti a malware, i programmi informatici di alto livello per il furto di informazioni, come LummaC2 o RedLine, sono banalmente in vendita (costano da 100 a 1.024 dollari al mese). Anche un cybercriminale alle prime armi è in grado di “rubare” milioni di password.
L’evoluzione dell’Intelligenza artificiale sta aprendo una nuova era di furti informatici e di utilizzo ancora più pericoloso nella guerra ibrida. «Una collega esperta di cybersicurezza ha realizzato un video animando falsamente la mia immagine mentre parlavo a un convegno. Mi ha fatto cantare e oggi riuscirebbe anche a farmi ballare» racconta la presidente di Clusit, fondata nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano. Rappresenta oltre 700 organizzazioni, appartenenti a tutti i settori del sistema-Paese.
Il caso che ha coinvolto il ministro della Difesa, Guido Crosetto, “clonato” per ottenere soldi da personaggi è conosciuto, in letteratura cyber, come “attacco della segretaria”. Una presunta assistente dell’amministratore delegato, che chiama il responsabile della tecnologia informatica aziendale per chiedere password di accesso ai conti.
«I Deepfake fino a due anni fa non erano in grado di replicare perfettamente la voce e la figura umana» osserva Vaccarelli. «Uno dei punti deboli erano le mani create con quattro o sei dita. Ora stanno superando gli errori, grazie all’Ia e stiamo assistendo a scenari da fantascienza». Gli israeliani nell’offensiva di “decapitazione” dei vertici iraniani avrebbero clonato ayatollah e comandanti dei Pasdaran per confondere il nemico o fare convergere i veri obiettivi in un determinato bunker.
A livello più basso è appena stato oscurato un sito americano, visibile in Italia, con una sezione “Images Jobs politician” che conteneva foto della first lady Melania Trump, della premier Giorgia Meloni, della segretaria del Pd Elly Schlein, della presidente della Commissione europea Ursula von der Leyen, perfettamente generate dall’Ia in pose sessuali esplicite. Dal 2024 è stato registrato un aumento del 3.000% dei Deepfake, grazie ad abbonamenti di base per la clonazione vocale e visuale, che costano pochi dollari. Una singola videochiamata con direttore finanziario dell’azienda e altri dirigenti senior clonati è costata ad una società di ingegneria 25,6 milioni di dollari. Per la clonazione vocale bastano 3 secondi di audio originale e nel 2025 ha superato la “soglia dell’indistinguibilità” secondo la rivista Fortune.
Gubiani mette in guardia: «Guardando al futuro, la sicurezza aziendale dipenderà dalla verifica dei comportamenti, non solo da una stringa di caratteri». I tentativi di truffa sono alla portata di tutti e ormai siamo al Phishing 2.0: kit personalizzati basati sull’Ia, venduti a meno di 100 dollari al mese su Telegram, che moltiplicano le possibilità di convincere l’ignaro utente a condividere via Internet le password spacciandosi per la banca, le Poste, l’Agenzia delle entrate e così via. Le difese, anche sulle clonazioni grazie all’Intelligenza artificiale, sono dettate dal buon senso e da una formazione specifica sulla sicurezza informatica. «Un dirigente della Ferrari ha ricevuto una chiamata con la voce di un caro amico che cercava aiuto» racconta Vaccarelli. L’evoluzione del finto agente o soccorritore che chiama la nonna dicendo che il nipote è stato arrestato oppure ha avuto un grave incidente e bisogna fare un bonifico per salvarlo o tirarlo fuori dai guai. «Il dirigente all’inizio non aveva dubbi» spiega la presidente Clusit «ma poi ha deciso di chiedere “quale libro mi hai consigliato due giorni fa” e l’Ia non è stata in grado di rispondere».
Alcuni Stati stanno intercettando e conservando dati, che oggi sono protetti da crittografia con l’obiettivo di decifrarli in futuro, quando i computer quantistici saranno abbastanza potenti.
Le Forze di difesa israeliane hanno annunciato la creazione di una nuova unità speciale, Alumot (fascio di luce), dedicata allo sviluppo di capacità di intelligenza artificiale e di elaborazione delle informazioni. Non per la difesa missilistica, gli attacchi dei droni o l’inganno ai vertici iraniani, ma direttamente per le truppe impegnate sul campo di battaglia.
«I Deepfake con l’Ia che generano Meloni in pose sexy o l’ex presidente Obama che rilascia dichiarazioni shock, mai pronunciate realmente, utilizzano sistemi sempre più evoluti» lancia l’allarme la presidente di Clusit. «Professionisti, che non sono sempre cyber criminali interessati ai soldi, ma pure attivisti con precise motivazioni e obiettivi politici».