Il Caffettino di Mario Moroni

Deepfake d’identità con l’AI: come i gruppi nordcoreani aggirano i controlli (e cosa puoi fare oggi)

Hacker sponsorizzati dalla Corea del Nord avrebbero usato strumenti di intelligenza artificiale generativa per fabbricare carte d’identità militari false e colpire obiettivi in Corea del Sud. Non è una trama da serie TV: lo riportano ricercatori di cybersecurity citati da Bloomberg. La novità non è il furto d’identità in sé, ma la facilità con cui oggi si possono produrre documenti credibili, scalare gli attacchi e confondere processi di verifica che pensavamo solidi. Se lavori in azienda, nella PA o sei un professionista, questo tema ti riguarda subito: non solo per i danni economici, ma per l’impatto su fiducia, accessi e continuità operativa.

Che cosa è successo, in breve

Secondo Bloomberg, un gruppo di hacker legato a Pyongyang avrebbe generato documenti d’identità deepfake, inclusi badge militari, per sostenere campagne di phishing e social engineering contro bersagli sudcoreani. L’uso dell’AI generativa non avrebbe sostituito l’intera catena dell’attacco, ma l’avrebbe resa più rapida, credibile e difficile da intercettare. Questo cambio di passo è il punto critico: quando la barriera d’ingresso crolla, la frequenza e la qualità degli attacchi aumentano.

Cos’è un “deepfake ID” e perché oggi è più credibile

Con “deepfake ID” parliamo di documenti d’identità sintetici o manipolati per sembrare autentici: foto realistiche, testi coerenti, layout e micro-dettagli che imitano standard reali. L’AI generativa è il moltiplicatore: produce varianti, riduce errori grammaticali, adatta lingue e formati, “riempie i buchi” con contenuti plausibili. Un tempo servivano grafici esperti e tempo; ora bastano competenze medie e tool diffusi.

Risultato: gli attaccanti possono simulare identità militari, dipendenti di fornitori strategici o candidati “perfetti” da inserire in aziende target, aggirando controlli di base e rubando accessi o informazioni sensibili.

Come funziona questo tipo di attacco (senza tecnicismi inutili)

Niente istruzioni operative, qui. Ma capiamo la logica:

  • Raccolta di contesto: l’attaccante studia l’organizzazione (reparti, fornitori, gerarchie) e sceglie l’identità più efficace per farsi aprire una porta.
  • Creazione di identità credibile: documenti e profili coerenti (foto, tono, date, ruoli). L’AI limita errori e rende tutto “pulito”.
  • Innesco: email, messaggi, richieste di accesso, colloqui, onboarding. L’obiettivo è superare il primo controllo umano o automatico.
  • Escalation: ottenuto un piccolo accesso, si passa ad autorizzazioni più ampie (pagamenti, dati, VPN, account cloud).

La catena resta classica: social engineering, initial access, movimento laterale. Cambia la potenza di fuoco nella fase di inganno.

Perché è un problema per aziende e professionisti

  • Verifiche di identità sotto stress: processi HR, procurement e supporto IT rischiano di promuovere o abilitare l’identità sbagliata.
  • Attacchi più veloci: più tentativi, più varianti, più probabilità che qualcuno ceda.
  • Danni oltre i soldi: interruzioni operative, perdita di fiducia di clienti e partner, obblighi di notifica e sanzioni.
  • Supply chain: basta un fornitore compromesso per aprire la porta a tutti gli altri.

Non è la prima volta: pattern già visti

Già nei mesi scorsi erano emersi casi di deepfake usati in colloqui di lavoro per piazzare finti dipendenti e drenare denaro o ottenere accessi. Il pattern è chiaro: identità sintetiche, credibilità “sufficiente”, obiettivi concreti (ruoli tecnici, pagamenti, credenziali). La novità è la qualità e la velocità con cui questi profili vengono fabbricati e riciclati.

Perché i modelli linguistici abbassano la barriera d’ingresso

  • Localizzazione istantanea di nomi, ruoli, gerarchie, sigle militari o aziendali.
  • Stile convincente: email e chat coerenti con il tono dell’organizzazione target.
  • Automazione: decine di varianti di messaggi e documenti in pochi minuti.
  • Riduzione errori “spia”: meno refusi, formattazioni più nel segno, date e codici plausibili.

Chi è più a rischio, subito

  • HR e recruiting: screening documenti, video colloqui, onboarding da remoto.
  • IT e identity management: rilascio credenziali, reset password, accessi VPN.
  • Finance e procurement: variazioni IBAN, ordini urgenti, nuovi fornitori “strategici”.
  • Team di sicurezza fisica: badge temporanei, accessi a eventi e sedi.
  • Pubblica Amministrazione e difesa: processi legacy, carichi di lavoro alti, risorse limitate.

Difendersi in concreto: persone, processi, tecnologie

Persone: alza la soglia del dubbio

  • Formazione continua su phishing, social engineering e segnali di documenti sospetti.
  • Policy chiare per verifiche fuori banda: se la richiesta è critica, si conferma su un canale diverso con un contatto noto.
  • Simulazioni periodiche di attacco: testare davvero i team, non solo slide.

Processi: verifica di identità a prova di deepfake

  • Segregazione dei poteri: nessuno approva e abilita da solo identità o pagamenti.
  • Verifiche manuali mirate per ruoli sensibili: chiamata di conferma a numeri ufficiali, non quelli forniti dal richiedente.
  • Onboarding a due stadi: documenti + controllo di presenza reale (es. verifica in diretta con test di “liveness” fornito da soluzioni affidabili).
  • Change management per IBAN e fornitori: doppia approvazione e attesa antifrode.

Tecnologie: riduci l’impatto, non solo la probabilità

  • Autenticazione forte con chiavi FIDO2/passkey per account critici: elimina il phishing delle password.
  • Zero Trust: accesso minimo necessario, continuo ricalcolo del rischio, segmentazione delle reti.
  • Protezione email e identity: DMARC/DKIM/SPF ben configurati, rilevamento anomalie, monitoraggio dei reset.
  • SSO e provisioning/deprovisioning centralizzato: riduci le superfici e chiudi subito ciò che non serve.
  • Registri e allarmi su attività ad alto rischio: creazione nuovi utenti privilegiati, cambi di MFA, download massivi.

Pubblica Amministrazione e settori regolati

  • Standard minimi obbligatori su verifica identità digitale e audit delle procedure di sportello.
  • Canali di escalation dedicati e rapidi per incidenti d’identità sospetta.
  • Inventario dei processi critici: dove un documento falso può fare danni reali? Si mette lì il primo budget.

PMI: 30 giorni per alzare le difese

  • Attiva passkey/FIDO2 per amministratori e finance.
  • Imposta DMARC in enforcement e blocca domini look-alike dove possibile.
  • Policy “chiama e verifica” su pagamenti e nuovi fornitori.
  • Revoca accessi dormienti e chiudi condivisioni pubbliche nel cloud.
  • Simulazione phishing con debrief: 1 ora ben spesa.

Come riconoscere un documento sospetto (senza diventare forensi)

  • Incongruenze micro: font leggermente diversi, allineamenti imperfetti, ombre “piatte”.
  • Dati troppo perfetti: zero errori, tempistiche fin troppo allineate a prassi interne.
  • Pressione e urgenza: richieste che saltano procedure con motivazioni “istituzionali”.
  • Canale di contatto anomalo: email appena create, domini simili, numeri non verificabili.
  • Incoerenza narrativa: ruolo alto ma conoscenza scarsa del contesto o gerarchie.

Nessun segnale è definitivo da solo. Ma due o tre indizi fanno una decisione prudente: fermarsi e verificare.

Cosa aspettarsi nei prossimi mesi

  • Scalata degli attacchi a settori HR, finance e PA con documenti sintetici sempre migliori.
  • Automazione delle campagne: più varianti, più tentativi, più “rumore” difficile da filtrare.
  • Difese integrate identity+email+endpoint: chi lavora a compartimenti stagni resterà esposto.

Europa e Italia: il nodo tra regole e pratiche

Le cornici normative aiutano (identità digitale, standard di sicurezza, audit), ma senza adozione concreta restano carta. Servono investimenti su verifica di identità robusta nei servizi pubblici, interoperabilità tra enti e linee guida chiare per la gestione dei “documenti sintetici”. Per le imprese: supply chain security e requisiti minimi per fornitori che gestiscono accessi o dati. Le regole valgono se diventano checklist operative.

Checklist rapida per oggi

  • MFA forte con chiavi hardware per account critici.
  • DMARC in p=reject e monitoraggio domini simili.
  • Doppia verifica su pagamenti e cambi IBAN.
  • Onboarding/Offboarding centralizzato e veloce.
  • Formazione mirata su fake ID e social engineering per HR, IT, finance.
  • Playbook incident per identità sospette con contatti e tempi già definiti.

Il punto

Non possiamo fermare chi costruisce falsi perfetti, ma possiamo rendere inutile il loro sforzo. Se un documento fake non basta per ottenere accessi o pagamenti, l’attacco perde mordente. L’AI alza la qualità delle truffe? Alziamo la qualità delle verifiche.

👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.