Il Deepfake è costato 25 milioni di dollari ad Arup — e la vostra azienda potrebbe essere la prossima
Un dipendente di Arup è stato ingannato da una videochiamata generata dall'IA e l'azienda ha perso 25 milioni di dollari. Cosa cambia per qualsiasi impresa in Brasile.
Nel gennaio 2026, un dipendente del dipartimento finanziario di Arup — multinazionale britannica di ingegneria con oltre 18.000 collaboratori — ha partecipato a una videochiamata con quella che credeva essere la CFO dell'azienda e altri colleghi senior. Al termine della riunione, ha autorizzato un bonifico di circa 25 milioni di dollari. Nessuna delle persone sullo schermo era reale. Erano tutte avatar generate dall'intelligenza artificiale, con voci e immagini sintetizzate in tempo reale.
Questo episodio non è fantascienza né un caso isolato di distrazione umana. È il segnale più chiaro fino ad ora che la frode aziendale è entrata in una nuova fase — e che i controlli che funzionavano due anni fa potrebbero non essere più sufficienti oggi.
Cosa ha reso possibile la truffa
I deepfake audio esistono dal 2018. I deepfake video in tempo reale, tuttavia, fino a poco tempo fa richiedevano hardware costoso, latenza percepibile e artefatti visivi che tradivano la falsificazione. Quel costo tecnico è crollato.
Strumenti come ElevenLabs (clonazione vocale), HeyGen (sintesi di avatar video) e pipeline open-source basate su modelli di diffusione permettono oggi di replicare la voce e l'aspetto di un dirigente con meno di due minuti di audio di riferimento — estratto da interviste su YouTube, podcast o registrazioni di eventi aziendali. Il risultato non deve essere perfetto; deve solo essere abbastanza convincente per un contesto di stress, urgenza e autorità gerarchica — esattamente l'ambiente che i truffatori costruiscono.
Nel caso di Arup, l'ingegneria sociale è stata precisa: la vittima ha ricevuto un'email dall'aspetto legittimo che richiedeva una riunione riservata su un'acquisizione in corso, ha partecipato alla chiamata e ha visto volti familiari. La pressione temporale e la richiesta di riservatezza — elementi classici del Business Email Compromise (BEC) — sono stati semplicemente trasposti nel formato video.
Perché questo è importante per le aziende brasiliane
La risposta breve: perché il Brasile è il secondo paese al mondo per numero di vittime di crimini finanziari digitali, secondo il rapporto Febraban 2025, e perché le PMI raramente dispongono dei controlli che le grandi aziende già faticano a gestire.
Se Arup — con il suo dipartimento di sicurezza, le politiche di compliance e il team legale globale — non è riuscita a prevenire l'attacco, la domanda corretta non è «ci capiterà?» ma «cosa facciamo quando accadrà?».
Il vettore di attacco qui è fondamentale: la frode non ha fatto affidamento sul phishing via email. Il dipendente non ha cliccato su un link malevolo. Non ha aperto alcun allegato. Ha superato tutti i filtri mentali che i tradizionali programmi di sensibilizzazione insegnano — eppure è stato ingannato. Questo invalida una parte significativa di ciò che le aziende chiamano "educazione alla sicurezza".
Cosa cambia nella pratica: la verifica fuori banda
La contromisura più efficace — già adottata da banche globali come JPMorgan e HSBC nei loro protocolli interni — è la verifica fuori banda (out-of-band verification). Il principio è semplice: qualsiasi istruzione sensibile ricevuta tramite un canale (email, Teams, Zoom, WhatsApp) deve essere confermata attraverso un canale diverso e indipendente, preferibilmente tramite una telefonata a un numero già registrato — non il numero fornito nel messaggio stesso.
Nella pratica, questo significa:
Tre regole che devono diventare politica formale
-
Modifiche ai dati bancari dei fornitori — qualsiasi variazione del conto per il pagamento richiede conferma telefonica con il contatto precedentemente registrato nell'ERP o nel sistema di acquisti. Non utilizzare mai il numero fornito nell'email di richiesta.
-
Istruzioni di bonifico da CFO o CEO tramite videoconferenza — stabilire una parola in codice o un protocollo di autenticazione per le richieste finanziarie di alto valore. Può sembrare arcaico; funziona. La banca svizzera Julius Baer ha implementato parole di sicurezza interne dopo un incidente analogo nel 2024.
-
Doppia approvazione per importi superiori a una soglia definita — il limite deve essere calibrato sulla realtà dell'azienda. Per una PMI brasiliana, R$ 50.000 giustificano già una doppia approvazione in presenza o tramite un canale alternativo documentato.
Il ruolo della formazione deve cambiare
La formazione alla consapevolezza deve incorporare simulazioni di deepfake, non solo phishing simulato. Piattaforme come KnowBe4 e Proofpoint Security Awareness offrono già moduli specifici a riguardo. La domanda che la formazione deve piantare nella mente del collaboratore non è più «questa email sembra sospetta?» — è «come verifico che la persona sullo schermo sia chi dice di essere, indipendentemente da ciò che sto vedendo e sentendo?».
Il rischio che viene ancora sottovalutato
Esiste un dettaglio operativo che pochi CISO stanno affrontando: la superficie di esposizione di voce e immagine dei dirigenti brasiliani è enorme. Interviste su portali di business, partecipazioni a podcast di settore, panel registrati a eventi come CIAB Febraban, HSM o SXSW São Paulo — tutto ciò fornisce il materiale di addestramento di cui un modello di sintesi ha bisogno. Non è necessario violare nulla. I dati sono pubblici.
Questo non significa che i dirigenti debbano sparire dallo spazio pubblico. Significa che le aziende devono trattare la presenza digitale della leadership come parte della superficie di attacco — e adeguare di conseguenza i protocolli di autorizzazione finanziaria.
Cosa fare nei prossimi 30 giorni
Arup sopravviverà alla perdita di 25 milioni di dollari. La maggior parte delle PMI brasiliane non sopravvivrebbe a una frazione di quella cifra. L'azione immediata non richiede un budget di sicurezza sofisticato:
- Mappare quali ruoli nella vostra azienda hanno l'autorità di approvare pagamenti e transazioni.
- Definire un protocollo scritto di verifica fuori banda per ciascuno di questi flussi.
- Testare il protocollo con un esercizio simulato prima della fine del trimestre.
- Rivedere i limiti di approvazione individuale e implementare la doppia custodia per importi rilevanti.
La tecnologia che ha reso possibile l'attacco ad Arup è disponibile, economica e migliora ogni mese. I controlli che la contrastano sono in gran parte procedurali — e costano molto meno di un singolo incidente andato a buon fine.
Telus e il furto di 700 TB: cosa cambia per le aziende dopo l'attacco di ShinyHunters
Il gruppo ShinyHunters rivendica 700 TB rubati a Telus a marzo 2026. Cosa significa l'incidente per chi dipende da fornitori di telecomunicazioni e identità.
Ransomware nella Catena di Fornitura: L'Anello Più Debole È il Tuo Partner
Gli attacchi ransomware raggiungono le PMI attraverso il fornitore più vulnerabile. Scopri come proteggere la tua operatività prima che sia troppo tardi.
Il Ransomware Prende di Mira le Piccole Imprese con Doppia Intensità
L'88% delle violazioni nelle PMI coinvolge ransomware. Scopri perché la tua azienda è il bersaglio preferito e come proteggerti oggi.