Voce clonata con l'IA nelle truffe telefoniche: cosa è reale e come difenderti

Squilla il telefono e senti la voce di tuo figlio, in lacrime, che chiede aiuto urgente. Il tono, il modo di parlare, perfino quel suo intercalare. Eppure può essere falsa. Oggi l'intelligenza artificiale clona una voce a partire da pochissimo audio, e quella voce viene usata nelle truffe telefoniche. Qui separiamo il vero dalla bufala e ti diamo un piano concreto.

Cos'è la voce clonata con l'IA e perché dovresti prenderla sul serio?

La clonazione vocale tramite IA consiste nel creare una copia sintetica della voce di una persona a partire da campioni audio. Con quel clone, un truffatore può generare frasi nuove che la persona non ha mai detto, con lo stesso timbro, accento e intonazione. Non è il robot metallico di dieci anni fa: suona umano, esitante, spaventato. Esattamente ciò che ti aspetteresti da qualcuno nei guai.

L'INCIBE (l'ente spagnolo per la cybersicurezza) ha documentato questo metodo di frode che usa la voce di un familiare creata con l'intelligenza artificiale. Lo schema è sempre lo stesso: il malintenzionato ottiene un frammento di voce, lo clona e chiama spacciandosi per una persona di tua fiducia per chiederti denaro immediatamente.

Ciò che rende questa truffa così pericolosa non è la tecnologia in sé. È che attacca l'unico filtro di cui ti fidavi ciecamente: riconoscere la voce dei tuoi cari. Per anni la regola d'oro contro il vishing è stata "verifica tramite un altro canale". La voce clonata esiste proprio perché tu abbassi la guardia prima di arrivare a quella verifica.

Come ottengono la tua voce e organizzano la chiamata?

Conviene capire il meccanismo senza drammatizzarlo. L'audio della tua voce non è un segreto ben custodito: è molto più esposto di quanto credi.

• Social media. Video su TikTok, Instagram, YouTube, storie, audio di gruppi. Bastano pochi secondi parlando in camera come materiale di partenza.
• Note vocali. Gli audio che mandi tramite messaggistica circolano e vengono inoltrati più di quanto immagini.
• Chiamate registrate. A volte è lo stesso truffatore a chiamarti prima con una scusa qualsiasi solo per registrarti mentre parli.
• Segreteria telefonica. Il tuo messaggio registrato è un campione pulito della tua voce.

Con quel materiale, il clone vocale viene generato con strumenti oggi accessibili. Poi organizzano la chiamata. E qui entra in gioco un secondo strato di inganno che già conosci: la falsificazione dell'identificativo del chiamante, o spoofing, che fa apparire sul tuo schermo un numero conosciuto o uno con il tuo stesso prefisso. Voce credibile più numero credibile: la combinazione è progettata perché tu non dubiti.

Un dettaglio tattico che emerge nei casi reali: spesso non vogliono che tu parli a lungo con il "familiare". In un caso documentato in Spagna, la voce clonata del marito diceva "non posso chiamarti, mandami un messaggio a questo numero". Perché? Perché più lunga è la conversazione, più è probabile che il clone fallisca. Cercano di chiudere in fretta e di dirottarti su un canale scritto dove la voce non li tradisce più.

In cosa si distingue questa truffa dal vishing di sempre?

È importante non confonderla con altre chiamate fraudolente. Il vishing classico impersona la tua banca o il fisco con una voce sconosciuta e un copione di pressione. La voce clonata fa un passo in più: non impersona un'istituzione, impersona una persona a cui vuoi bene.

La differenza chiave è nell'ultima riga della "leva emotiva". La paura di una multa ti lascia qualche secondo per pensare. Il panico per un figlio no. Ed è proprio lì che i truffatori vogliono tenerti.

Cosa è reale e cosa è esagerazione?

Come per tutto ciò che riguarda l'IA, c'è molto rumore. Andiamo al concreto.

È reale:

• Che si possa clonare una voce a partire da brevi campioni audio. L'INCIBE lo riporta nei suoi casi reali.
• Che la voce risultante suoni convincente al telefono, dove la qualità dell'audio è già bassa e maschera i difetti del clone.
• Che si combini con la falsificazione del numero per rafforzare l'inganno.
• Che l'obiettivo sia sempre un pagamento urgente e irreversibile.

È esagerazione o sfumatura importante:

• Che il clone sia perfetto. Non lo è. Nelle conversazioni lunghe, di fronte a domande inattese o emozioni complesse, il clone vacilla: intonazioni strane, pause anomale, risposte che non quadrano.
• Che chiunque possa diventare vittima senza difesa possibile. Non è vero. C'è un gesto semplice che smonta l'inganno quasi sempre, e lo vediamo più sotto.
• Che ti serva tecnologia avanzata per proteggerti. Non ti serve. La difesa migliore è un accordo familiare e un'abitudine.

Nel caso spagnolo documentato dalla stampa, la donna ha notato che "qualcosa suonava strano", ha riattaccato e ha chiamato direttamente il marito. Era un deepfake. Quell'istinto, unito alla verifica tramite un altro canale, è esattamente ciò che funziona.

Come difenderti? La parola di sicurezza familiare e altre abitudini

Ecco il piano. Non è complicato e vale per tutta la famiglia.

1. Concordate una parola di sicurezza familiare. È la difesa più potente e la più semplice. Scegliete in famiglia una parola o frase segreta che conoscete solo voi. Non scrivetela sui social né nelle chat. Se qualcuno chiama chiedendo denaro urgente "a nome" di un familiare, gli chiedi la parola. Un truffatore con un clone vocale non la saprà. Una parola non ovvia (né il nome dell'animale né la data di nascita) e che non avete mai scritto su internet.

2. Riattacca e verifica tramite il canale di sempre. È la regola d'oro contro qualsiasi frode telefonica, e qui è decisiva. Riattacca e chiama tu il numero abituale di quella persona. Se ti dicono che "quel telefono non funziona", chiama un altro familiare che possa rintracciarla. Non usare il numero da cui ti hanno chiamato né il nuovo numero che ti danno.

3. Fai una domanda a cui un estraneo non saprebbe rispondere. Qualcosa di concreto e personale: "dove abbiamo pranzato domenica scorsa?", "come si chiama il tuo professore di matematica?". Il clone imita la voce, non i ricordi condivisi.

4. Frena l'urgenza. La fretta è l'arma. Nessun imprevisto reale richiede un bonifico nei prossimi cinque minuti senza che tu possa verificare nulla. Se ti mettono fretta, quella fretta è il segnale.

5. Diffida del cambio di canale. Se la "voce" vuole spostarti in fretta su un SMS o WhatsApp verso un nuovo numero, sospetta. È la manovra perché tu smetta di sentire il clone e cada in un link o numero di pagamento.

6. Riduci la tua impronta vocale. Non serve cancellare i social, ma tieni presente che l'audio pubblico è materia prima. Regola la privacy dei tuoi profili e pensaci prima di pubblicare audio lunghi parlando in camera.

Regola d'oro: di fronte a una chiamata che chiede denaro urgente, non importa di chi sia la voce. Riattacca, respira e verifica tramite un canale che controlli tu. La voce non è più una prova d'identità.

E se la vittima è una persona anziana?

Gli anziani sono un bersaglio prioritario di questa truffa, perché combinano tre fattori cercati dai malintenzionati: minore familiarità con l'IA, forte legame emotivo con figli e nipoti, e a volte più risparmi disponibili. Se hai familiari anziani, la conversazione è urgente.

• Spiega loro il concetto senza tecnicismi: "ora possono imitare la mia voce al telefono con un computer".
• Concordate insieme la parola di sicurezza e fategliela memorizzare bene.
• Lasciate un cartello accanto al telefono: "Se chiedono denaro urgente, riattacca e chiama [il tuo numero]".
• Insistete sul fatto che riattaccare non è mai maleducato quando c'è di mezzo del denaro.

Hai una guida dedicata su come proteggere le persone anziane dalle truffe telefoniche. Condividila nel gruppo di famiglia.

Cosa faccio se ho ricevuto o sono caduto in una di queste chiamate?

Agisci con calma ma senza indugio.

Se l'hai ricevuta ma non hai pagato:

1. Non richiamare il numero che compare.
2. Verifica che il tuo familiare stia bene tramite il canale abituale.
3. Segnala il numero su NoCall per avvisare la comunità.
4. Comunicalo all'INCIBE al 017 (anche su WhatsApp al 900 116 117), la sua linea gratuita di aiuto sulla cybersicurezza.

Se hai già fatto un bonifico o un pagamento istantaneo:

1. Chiama subito la tua banca per cercare di bloccare o annullare l'operazione. Il tempo è cruciale.
2. Raccogli prove: screenshot del numero, ora, importo, qualsiasi messaggio ricevuto.
3. Sporgi denuncia alla polizia con quelle prove.
4. Informa l'INCIBE 017 per orientarti sui passi successivi.

Hai il processo completo, con l'ordine delle priorità, nella nostra guida cosa fare di fronte a una chiamata da un numero internazionale sconosciuto e nel resto delle guide NoCall.

In sintesi

La voce clonata con l'IA è una minaccia reale, non un titolo allarmistico. La tecnologia esiste, è accessibile e si combina con la falsificazione del numero per sembrare ancora più credibile. Ma ha un punto debole chiaro: non conosce i vostri segreti né la vostra parola di sicurezza, e non regge la verifica tramite un altro canale.

Interiorizza una sola idea: la voce non dimostra più chi chiama. Da lì, una parola concordata in famiglia e l'abitudine di riattaccare e controllare bastano per smontare la truffa.

Hai ricevuto una chiamata sospetta o pensi di essere stato bersaglio di questa truffa? Segnalala nella directory di NoCall e controlla il numero prima di richiamare. Ogni segnalazione aiuta a proteggere tutta la comunità. Se vuoi andare oltre, consulta le tendenze dello spam telefonico e impara a leggere i segnali di rischio di un numero.