DEV Community

Dirk Röthig
Dirk Röthig

Posted on

Deepfake, Disinformazione ed Etica Digitale: I Rischi dell'IA che Ogni CEO Deve Conoscere

#verdantis #dirkroethig #sustainability #climatechange

Deepfake, Disinformazione ed Etica Digitale: I Rischi dell'IA che Ogni CEO Deve Conoscere

Di Dirk Roethig | CEO, VERDANTIS Impact Capital | 3 marzo 2026

Le frodi con deepfake sono costate alle aziende oltre 1,1 miliardi di dollari nel 2025. Un singolo dipendente ha trasferito 25 milioni di dollari dopo una videochiamata con un "direttore finanziario" sintetico. Cosa devono sapere i CEO sui rischi dell'IA, l'etica digitale e la Legge sull'IA dell'UE -- prima di diventare essi stessi il prossimo obiettivo.

Tag: IA, Deepfake, Disinformazione, Sicurezza Informatica, Etica Digitale, CEO, Governance, Legge sull'IA UE

Il giorno in cui il CFO non era il CFO

Era un giorno lavorativo ordinario a Hong Kong. Un esperto controllore finanziario della società di ingegneria britannica Arup partecipava a una videochiamata. Sullo schermo: il suo direttore finanziario. Colleghi familiari. Atmosfera normale di riunione. L'istruzione: eseguire 15 bonifici bancari per un totale di 200 milioni di dollari di Hong Kong -- circa 25,6 milioni di dollari statunitensi.

Il controllore eseguì i trasferimenti. Solo giorni dopo, dopo aver consultato la sede centrale nel Regno Unito, apprese la verità: nessuno dei partecipanti alla videochiamata era stato reale. Il direttore finanziario, i colleghi, l'intera sessione di conferenza -- deepfake generati dall'IA, ingannevolmente autentici sia nell'immagine che nella voce (CNN, 2024).

Questo caso non è uno scenario distopico tratto da un thriller. È realtà documentata. Ed è sintomatico di un panorama di minacce che si è drammaticamente aggravato nel corso del 2025.

I numeri: cosa costano i deepfake oggi

La dimensione macroeconomica delle frodi abilitate dall'IA ha superato una soglia che i leader aziendali non possono più permettersi di ignorare.

Secondo l'analisi di DeepStrike, gli incidenti di frode con deepfake negli Stati Uniti solo nel 2025 hanno raggiunto 1,1 miliardi di dollari di danni -- più del triplo della cifra dell'anno precedente. A livello globale, le perdite documentate attribuibili ai deepfake hanno già raggiunto 1,56 miliardi di dollari (Surfshark Research, 2025). Le proiezioni del Centro di Servizi Finanziari di Deloitte mostrano che le perdite per frodi abilitate dall'IA cresceranno fino a 40 miliardi di dollari annui entro il 2027 -- con un tasso di crescita annuo composto del 32 percento.

Ancora più allarmante è la velocità di proliferazione: da 500.000 deepfake nel 2023 a oltre otto milioni nel 2025 -- una crescita di quasi il 900 percento (DeepStrike, 2025). In Germania, il tasso di frode con deepfake è aumentato del 1.100 percento nel primo trimestre del 2025 rispetto allo stesso periodo dell'anno precedente (Fraunhofer ISI, 2025).

La frode CEO è diventata un fenomeno di massa: almeno 400 aziende al giorno vengono attaccate con varianti di frode CEO. La frode di clonazione vocale -- la simulazione ingannevolmente precisa di un dirigente al telefono -- è aumentata del 680 percento nell'arco di un solo anno (Keepnet Labs, 2026).

Perché le aziende sono così vulnerabili

La spaventosa verità dietro questi numeri non risiede solo nella sofisticatezza degli aggressori. Risiede nell'impreparazione dei difensori.

Un sondaggio Gartner su 302 responsabili della sicurezza informatica rivela: il 43 percento ha segnalato almeno un incidente deepfake nelle chiamate audio, il 37 percento nelle videoconferenze (Gartner, 2025). Eppure la risposta aziendale rimane allarmantemente debole: solo il 13 percento delle aziende a livello mondiale ha implementato protocolli anti-deepfake. Solo il 32 percento dei dirigenti ritiene che la propria organizzazione sia persino preparata a gestire un incidente deepfake.

Un ulteriore problema strutturale: il 25 percento dei dirigenti ha poca o nessuna familiarità con i deepfake (Programs.com, 2026). Chi non conosce una minaccia non può difendersi da essa.

La democratizzazione della tecnologia ha ridotto le barriere di ingresso per gli aggressori a quasi zero. Gli strumenti di sintesi vocale e facciale che tre anni fa richiedevano costose competenze specialistiche sono oggi accessibili per pochi dollari al mese. Ciò che era una volta prerogativa di attori statali o cybercriminali altamente organizzati è ora lo strumento del truffatore medio.

La disinformazione come rischio strategico aziendale

I deepfake sono solo una manifestazione di un fenomeno più ampio: l'uso sistematico dell'IA per produrre e diffondere disinformazione. Per le aziende, le conseguenze vanno ben oltre la frode finanziaria diretta.

Deepfake reputazionali: Video fabbricati che mostrano un CEO fare dichiarazioni controverse, annunciare false strategie o simulare comportamenti scandalosi. Anche quando una falsificazione viene smascherata entro ore, il danno reputazionale può costare milioni -- e far crollare i prezzi delle azioni.

Manipolazione del mercato attraverso disinformazione generata dall'IA: Comunicati stampa falsi, "fughe di notizie" sintetiche su difetti di prodotto o decisioni normative fittizie possono essere deploiati deliberatamente per manipolare i prezzi delle azioni. La Securities and Exchange Commission degli Stati Uniti ha emesso ripetuti avvertimenti su questo sviluppo (SEC, 2025).

Targeting dei dipendenti tramite identità sintetiche: I responsabili delle risorse umane segnalano candidature di lavoro in cui i colloqui video sono stati condotti con persone sintetiche -- fino ad arrivare a "dipendenti" completamente assunti che erano in realtà hacker che cercavano accesso alle reti aziendali.

Interferenza politica e normativa: Nell'era del capitalismo degli stakeholder, le aziende sono sempre più obiettivo di campagne di disinformazione a motivazione politica. Documenti fabbricati che suggeriscono corruzione o violazioni ambientali possono innescare indagini normative, distruggere partnership e scoraggiare gli investitori.

L'UNESCO ha descritto questo sviluppo come una crisi fondamentale della fiducia epistemica -- un'erosione della capacità collettiva di distinguere la verità dalla fabbricazione (UNESCO, 2024).

Il quadro legale: cosa richiede la Legge sull'IA dell'UE

La risposta dell'Europa a questa minaccia è il più completo quadro normativo sull'IA al mondo. La Legge sull'IA dell'UE, in vigore dall'agosto 2024, entra in piena applicazione per la maggior parte dei requisiti aziendali il 2 agosto 2026.

Per i CEO, gli obblighi di trasparenza sono particolarmente significativi:

Articolo 50(2): I fornitori di sistemi di IA generativa devono garantire che i risultati generati dall'IA siano contrassegnati in un formato leggibile dalle macchine, rilevabili come artificialmente generati o manipolati.

Articolo 50(4): Le aziende che implementano sistemi di IA per creare deepfake sono obbligate a etichettare esplicitamente tali contenuti come sintetici -- tranne nelle eccezioni legalmente autorizzate come le forze dell'ordine.

Le conseguenze dell'inosservanza sono sostanziali: fino a 35 milioni di euro o il 7 percento del fatturato annuo globale -- a seconda di quale sia il maggiore. Inoltre, l'UE ha creato un nuovo reato penale per la diffusione non autorizzata di deepfake generati dall'IA, punibile con da uno a cinque anni di prigione (Legge sull'IA dell'UE, Articolo 50; Blackbird.AI, 2025).

Nel dicembre 2025, la Commissione Europea ha pubblicato una prima bozza di Codice di Condotta per l'etichettatura dei contenuti generati dall'IA. La versione finale è attesa per giugno 2026 (Kirkland & Ellis, 2026). Le aziende che non hanno ancora iniziato a costruire strutture di conformità stanno accumulando una massiccia pressione temporale.

L'etica digitale come responsabilità di leadership

Le dimensioni tecniche e normative del problema sono una cosa. L'altra è più fondamentale: quale responsabilità etica assume la direzione esecutiva nell'era delle realtà sintetiche?

Nel mio lavoro di consulenza presso VERDANTIS Impact Capital, incontro ripetutamente la stessa percezione errata: l'etica digitale viene trattata come una questione dipartimentale -- delegata alla conformità normativa, all'IT o a un nuovo Chief AI Officer. In realtà, è una responsabilità intrinseca della leadership.

Lo studio sulla governance dell'IA di KPMG 2025 identifica che i fattori di successo decisivi per un'IA responsabile non sono tecnici ma culturali. Al primo posto c'è la postura della leadership esecutiva: Il consiglio di amministrazione definisce guardrail etici chiari? Esiste un Comitato di Governance dell'IA? Le responsabilità sono assegnate in modo inequivocabile? (KPMG, 2025)

Il 43 percento delle aziende del DAX-40 ha ormai nominato responsabili dell'etica dell'IA dedicati. Per le medie imprese questo accade a malapena. Ed è proprio qui -- nelle organizzazioni con gerarchie più piatte, team meno specializzati e risorse più limitate -- che le lacune di governance sono maggiori.

Il BVDW ha formulato sei principi etici fondamentali per il dispiegamento dell'IA: equità, trasparenza, spiegabilità, protezione dei dati, sicurezza e robustezza (BVDW, 2025). Questi principi non sono liste di controllo burocratiche. Sono il fondamento su cui si costruisce la fiducia -- nella tecnologia, nelle aziende, nelle istituzioni.

Cosa devono fare i CEO: un framework in cinque punti

L'analisi del panorama delle minacce e i requisiti della Legge sull'IA dell'UE forniscono un framework pratico per i leader aziendali:

1. Creare un inventario delle minacce. Quali processi di comunicazione nell'organizzazione si basano sulla fiducia nella voce o nell'immagine? Dove vengono emesse istruzioni di trasferimento via telefono o video? Quali dirigenti potrebbero essere obiettivi di impersonificazione? Questo inventario è il punto di partenza per ogni misura di protezione.

2. Introdurre protocolli di verifica per le transazioni critiche. Il caso Arup era prevenibile. Un semplice protocollo -- ogni trasferimento oltre una soglia definita richiede la controconferma tramite un secondo canale verificato -- sarebbe stato sufficiente. Tali protocolli costano poco ma prevengono perdite milionarie.

3. Rendere obbligatoria la formazione dei dipendenti. Solo il 34,3 percento dei tedeschi sa cosa sono i deepfake (Fraunhofer ISI, 2025). I dipendenti che non riescono a riconoscere i deepfake sono l'anello più debole della catena difensiva. Le simulazioni periodiche -- simili ai test di phishing -- per tutto il personale con accesso finanziario non sono facoltative ma obbligatorie.

4. Costruire strutture di governance dell'IA. Un Comitato di Governance dell'IA, linee guida chiare per l'uso interno dell'IA, un processo per valutare le nuove applicazioni di IA -- queste strutture preparano simultaneamente le organizzazioni alla conformità alla Legge sull'IA dell'UE e riducono il rischio di violazioni etiche non intenzionali.

5. Creare una roadmap di conformità alla Legge sull'IA dell'UE. Gli obblighi di trasparenza devono essere soddisfatti al più tardi entro agosto 2026. Le aziende che implementano IA generativa hanno bisogno ora di un inventario dei sistemi, una valutazione dei rischi e un piano di implementazione. Chi aspetta fino al 2026 mancherà la scadenza.

Il paradosso dell'erosione della fiducia

C'è una dimensione più profonda in questo argomento che va oltre il rischio aziendale. I deepfake e la disinformazione generata dall'IA minano non solo la fiducia in singoli contenuti. Minano la fiducia nelle istituzioni, nei processi democratici, nella stessa affidabilità della percezione.

LSE International Development scrive di un "Punto Cieco dei Deepfake nella Governance dell'IA" -- un pericoloso divario tra il ritmo dello sviluppo tecnologico e la capacità della regolamentazione e della società di stare al passo (LSE, 2025). Questo divario ha conseguenze che vanno ben oltre i singoli casi di frode.

Nell'economia della fiducia, i CEO non sono osservatori passivi. Sono modellatori attivi. Le aziende che dimostrano trasparenza in modo proattivo, che incarnano visibilmente una governance dell'IA etica e che mettono i propri dipendenti e clienti in grado di riconoscere i contenuti sintetici costruiscono un vantaggio competitivo difficile da replicare: il capitale della fiducia.

Conclusione: La leadership etica nell'IA non è un lusso

Il messaggio è inequivocabile: i deepfake non sono una minaccia futura. Sono il presente. Otto milioni di deepfake nel 2025. 1,1 miliardi di dollari di danni solo negli Stati Uniti. 400 attacchi di frode CEO al giorno. E un panorama aziendale in cui l'87 percento delle aziende non ha protocolli anti-deepfake.

La Legge sull'IA dell'UE crea parametri vincolanti dall'agosto 2026. Ma la sola regolamentazione non protegge le organizzazioni. Ciò che le protegge è la combinazione di salvaguardie tecniche, dipendenti formati, governance chiara e -- fondamentalmente -- una leadership esecutiva che comprende l'etica digitale come responsabilità centrale.

La domanda che ogni CEO dovrebbe rispondere oggi non è: "La mia azienda potrebbe essere obiettivo di un attacco deepfake?" La risposta a questa è: sì. La domanda rilevante è: "Cosa facciamo quando accade -- e cosa stiamo facendo per garantire che il danno rimanga minimo?"

Chi non risponde a questa domanda oggi la risponderà domani in circostanze considerevolmente meno favorevoli.

Riferimenti

  • Blackbird.AI (2025). Deepfake Detection Now Required Under EU AI Act Rules. Blackbird.AI Research.
  • BVDW (2025). Sei principi etici per lo sviluppo e l'uso dell'IA. Bundesverband Digitale Wirtschaft.
  • CNN (2024). Arup revealed as victim of $25 million deepfake scam involving Hong Kong employee. CNN Business, 16 maggio 2024.
  • DeepStrike (2025). Deepfake Statistics 2025: The Data Behind the AI Fraud Wave. Rapporto di Ricerca DeepStrike.
  • Deloitte Center for Financial Services (2025). AI-Enabled Fraud: Projections to 2027. Deloitte Insights.
  • EU AI Act (2024). Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio. Articolo 50: Obblighi di Trasparenza. Gazzetta Ufficiale dell'Unione Europea.
  • Fraunhofer ISI (2025). Deepfake: Opportunità e rischi per politica, economia e società. Istituto Fraunhofer per i Sistemi e la Ricerca sull'Innovazione.
  • Gartner (2025). Why CIOs Cannot Ignore the Rising Tide of Deepfake Attacks. Sala Stampa Gartner, 2 settembre 2025.
  • Keepnet Labs (2026). Deepfake Statistics & Trends 2026: Key Data & Insights. Keepnet Security Research.
  • Kirkland & Ellis (2026). Illuminating AI: The EU's First Draft Code of Practice on Transparency for AI-Generated Content. Kirkland Alert, febbraio 2026.
  • KPMG (2025). Governance dell'IA: I fattori chiave di successo. KPMG Germania.
  • LSE International Development (2025). The Deepfake Blindspot in AI Governance. Blog della London School of Economics, 4 dicembre 2025.
  • Programs.com (2026). The Latest Deepfake Facts & Statistics (2026). Programs.com Research.
  • SEC (2025). AI, Deepfakes, and the Future of Financial Deception. Dichiarazione di Perry Carpenter, KnowBe4, SEC, marzo 2025.
  • Surfshark Research (2025). AI Drives Deepfake Losses to $1.56 Billion. Surfshark Data Chart.
  • UNESCO (2024). Deepfakes and the Crisis of Knowing. Regolamentazione Digitale UNESCO.

Sull'autore

Dirk Roethig è CEO di VERDANTIS Impact Capital e consulta aziende all'intersezione di tecnologia, creazione di valore sostenibile e resilienza digitale. Con oltre 20 anni di esperienza nella leadership esecutiva internazionale, combina il pensiero strategico con una profonda competenza in materia di IA. Le sue aree di interesse includono la trasformazione digitale, l'impact investing e come le organizzazioni possono convertire i rischi tecnologici in opportunità strategiche.

Contatto: LinkedIn | VERDANTIS Impact Capital

Sull'Autore: Dirk Roethig è CEO e Fondatore di VERDANTIS Impact Capital, una piattaforma di investimento a impatto focalizzata su crediti di carbonio, agroforesteria e soluzioni basate sulla natura con sede a Zugo, Svizzera. Dirk Roethig si concentra sull'IA nel business, l'agricoltura sostenibile e le sfide demografiche.

Contatto e altri articoli: verdantiscapital.com | LinkedIn

Top comments (0)