Frode ai tempi dell’IA: Experian prevede un punto di svolta nel 2026
Tra frodi AI, deepfake e furti di identità, il 2026 si preannuncia come l’anno in cui la realtà stessa sarà messa in discussione, richiedendo nuove strategie di difesa e sollevando interrogativi sulla privacy.
Siamo arrivati al punto di rottura, o almeno così ci dicono coloro che vendono la colla per rimettere insieme i pezzi.
Se il 2025 è stato l’anno in cui abbiamo iniziato a dubitare di ciò che vedevamo online, il 2026 si preannuncia come l’anno in cui smetteremo definitivamente di credere a qualsiasi cosa appaia su uno schermo. Il rapporto annuale sulle previsioni di frode pubblicato oggi da Experian non usa mezzi termini: siamo di fronte a un “tipping point”, un punto di non ritorno per le truffe abilitate dall’intelligenza artificiale.
Tuttavia, leggere questi rapporti richiede sempre una doppia lente: quella dell’analisi tecnica e quella, ben più cinica, del cui prodest.
Perché se è vero che le tecnologie generative hanno democratizzato la capacità di frodare, è altrettanto vero che la paura è il miglior motore di vendita per le aziende di cybersecurity e verifica dell’identità. Il quadro che ne emerge è quello di un ecosistema digitale tossico, dove l’utente finale è stretto tra truffatori sempre più sofisticati e grandi piattaforme che richiedono sempre più dati biometrici per “proteggerci”.
I numeri, va detto, sono impietosi. La Federal Trade Commission (FTC) degli Stati Uniti ha riportato che nel 2025 i consumatori hanno perso oltre 12,5 miliardi di dollari a causa delle frodi. Un dato che fa riflettere non è tanto il numero delle segnalazioni, rimasto stabile a 2,3 milioni, quanto l’efficacia dei colpi: le perdite finanziarie sono aumentate del 25%.
In pratica, i truffatori non stanno lavorando di più, stanno lavorando “meglio”, grazie agli strumenti che le stesse Big Tech ci hanno venduto come rivoluzionari.
Il caos macchina-contro-macchina
La nuova frontiera non è più il principe nigeriano che vi scrive una mail sgrammaticata.
Il vero incubo del 2026 è quello che gli esperti chiamano machine-to-machine mayhem, il caos macchina-contro-macchina. Immaginate un’orda di agenti IA autonomi — software progettati per agire indipendentemente — che vengono sguinzagliati contro i sistemi di e-commerce.
Da una parte abbiamo i consumatori (o meglio, i loro assistenti virtuali) che cercano l’offerta migliore; dall’altra, truffatori che usano bot identici per testare carte di credito rubate, creare account falsi o manipolare i prezzi. Il risultato è che distinguere un cliente legittimo da un criminale digitale sta diventando matematicamente impossibile senza invadere pesantemente la privacy dell’utente.
Non è più sufficiente dire che si tratta di un bot, quindi dobbiamo fermare questo traffico. L’azienda prevede che quest’anno sarà un “punto di svolta” per le frodi abilitate dall’IA che costringerà a conversazioni sulla responsabilità e sulla regolamentazione dell’IA agentica nell’e-commerce.
— Kathleen Peters, Chief Innovation Officer per le frodi e l’identità presso Experian North America
Questo scenario ha già scatenato le prime guerre corporative. Amazon, per esempio, ha iniziato a bloccare aggressivamente i bot di terze parti, arrivando a fare causa a Perplexity AI. La giustificazione ufficiale è sempre la tutela della sicurezza e della privacy, ma l’effetto collaterale è comodo: chiudere il recinto dei propri dati.
Se per comprare un paio di scarpe dovrò dimostrare di non essere un robot fornendo la scansione della mia iride o un video in tempo reale, avremo barattato l’anonimato per la comodità, con la scusa della sicurezza.
E mentre le aziende litigano su quale bot abbia il diritto di navigare, Experian prevede che quest’anno rappresenterà un punto di svolta per le frodi abilitate dall’IA, evidenziando come la democratizzazione degli strumenti generativi stia permettendo anche a criminali con scarse competenze tecniche di creare truffe su scala industriale.
Il collega che non esiste
Se il commercio online è un campo minato, il mondo del lavoro sta diventando un film di spionaggio di serie B, ma con conseguenze reali. Una delle tendenze più inquietanti rilevate riguarda l’uso dei deepfake nei colloqui di lavoro.
Non stiamo parlando solo di ritoccare il curriculum, ma di candidati che utilizzano sovrapposizioni video in tempo reale per alterare la propria identità e le proprie competenze durante le interviste su Zoom o Teams.
Il fenomeno è talmente diffuso che l’FBI e il Dipartimento di Giustizia americano hanno lanciato l’allarme su operativi nordcoreani che si fingono lavoratori IT occidentali per infiltrarsi nelle aziende, rubare proprietà intellettuale e inviare stipendi al regime di Pyongyang. Ma al di là dello spionaggio di stato, c’è un livello più banale e diffuso di frode: persone che “affittano” il volto e la voce di esperti per superare i colloqui tecnici, per poi subappaltare il lavoro o, peggio, sparire con i dati aziendali una volta ottenute le credenziali.
È un mercato del lavoro molto competitivo là fuori e gli individui possono offrire i loro servizi per superare un colloquio tecnico. Con meno esperienza, sono in grado di creare truffe più convincenti e messaggi di testo più convincenti che possono diffondere su larga scala.
— Kathleen Peters, Chief Innovation Officer per le frodi e l’identità presso Experian North America
Le implicazioni per la privacy dei dipendenti onesti sono, prevedibilmente, disastrose. Per combattere i “dipendenti fantasma”, le aziende stanno iniziando a implementare controlli biometrici continui. Immaginate di dover sorridere alla webcam ogni dieci minuti per provare al vostro datore di lavoro che siete ancora voi e non un deepfake generato da un server a migliaia di chilometri di distanza.
È il sogno bagnato di ogni micromanager e l’incubo di ogni garante della privacy, nonostante il GDPR in Europa cerchi di porre dei freni a questa deriva sorvegliante.
La realtà come opzione
Alla base di tutto questo c’è un problema strutturale: la materia prima. Le IA non imparano a truffare dal nulla; imparano dai nostri dati. Oltre 8.000 violazioni di dati a livello globale hanno esposto circa 345 milioni di record, fornendo ai truffatori un serbatoio quasi infinito di informazioni reali da mescolare con quelle sintetiche.
Queste “identità sintetiche” — un codice fiscale reale, un nome falso, una faccia generata dall’IA — possono rimanere dormienti per mesi, costruendo un credito apparentemente legittimo prima di svuotare i conti e svanire nel nulla.
Siamo di fronte a un paradosso.
Le stesse aziende che raccolgono i nostri dati in massa e spesso faticano a proteggerli (le sanzioni del GDPR sono lì a ricordarcelo), ora ci avvertono che quei dati sono usati per ingannarci e ci propongono nuove soluzioni tecnologiche per verificare chi siamo. È un ciclo perfetto di creazione del problema e vendita della soluzione.
Stiamo entrando in una nuova era in cui gli attacchi informatici non riguardano più solo il furto di dati, ma la manipolazione della realtà. Le organizzazioni devono prepararsi a minacce più veloci, più intelligenti e più difficili da rilevare. Il momento di agire è adesso.
— Jim Steven, Head of Crisis and Data Response Services presso Experian Global Data Breach Resolution
Il rischio maggiore, avverte Jim Steven in un’analisi sulle minacce informatiche guidate dall’IA, è che non saremo più in grado di distinguere un attacco dalla normale operatività. Se la realtà diventa manipolabile in tempo reale, il concetto stesso di “prova” digitale vacilla.
In questo scenario, la domanda che dovremmo porci non è solo come difenderci dai truffatori, ma cosa siamo disposti a cedere per farlo. Se l’unico modo per navigare sicuri nel 2026 sarà quello di essere costantemente tracciati, verificati e analizzati da algoritmi proprietari, potremmo scoprire che la sconfitta della privacy non è stata causata da un hacker incappucciato, ma è stata l’unica opzione rimasta nel menu delle impostazioni di sicurezza.
Resta da chiedersi: in un mondo dove nessuno sa se sei un cane o un bot, quanto vale ancora la nostra identità umana?
