Avete presente quei messaggi che vi arrivano mentre state per addormentarvi? ‘Pacco in giacenza, clicca qui’. ‘Banca: attività sospetta sul tuo conto’. ‘Il tuo account Google è compromesso’. Ecco, dietro c’è un’intera organizzazione criminale che usa l’AI per svuotarvi il portafoglio. E Google ha deciso che ne ha abbastanza.
L’azienda ha appena depositato una causa civile contro quella che chiamano ‘Outsider Enterprise’ — nome che suona come una startup tech ma che in realtà è una rete di cybercriminali basata in Cina. Coordinati via Telegram (ironia della sorte), questi tizi distribuiscono ‘phishing kit’ che permettono a chiunque di lanciare campagne di SMS fasulli spacciandosi per Google, Amazon, la vostra banca. Il tutto con l’AI a rendere i messaggi sempre più convincenti.
I numeri che fanno girare la testa
Parliamo di scala. Non è il classico truffatore solitario che prova a fregarvi 50 euro.
Centinaia di migliaia di vittime. Milioni di dollari di perdite stimate. 9.000 siti web falsi. Un milione di URL fraudolenti collegati a questa organizzazione. E poi c’è questo: 55.000 SMS spam segnalati dagli utenti Android in sole due settimane di maggio. Fate i conti — sono più di due segnalazioni al minuto. Ogni minuto. Per due settimane.
Nello stesso periodo, l’Enterprise ha inviato 2,5 milioni di messaggi agli utenti Android contenenti link a siti creati da loro. 2,5 milioni. In quattordici giorni.
Non solo avvocati: arriva anche l’FBI
Google non sta combattendo da sola. C’è l’FBI che coordinerà azioni di law enforcement — che tradotto significa: qualcuno busserà a qualche porta con un mandato. E poi c’è la collaborazione con AT&T, T-Mobile e Verizon per bloccare questi messaggi prima che arrivino al vostro telefono.
Brett Leatherman, Assistant Director della Cyber Division dell’FBI, non usa mezzi termini: ‘I criminali dietro l’Outsider Enterprise hanno costruito un business impersonando brand fidati per frodare centinaia di migliaia di vittime’. Già, un business. Con tanto di infrastruttura, distribuzione, assistenza clienti (sì, anche i truffatori hanno il supporto tecnico).
Le leggi devono aggiornarsi. Tipo, ieri.
Qui Google fa una mossa interessante: non si limita a fare causa. Sta spingendo per sette disegni di legge bipartisan — già questo è un miracolo — per aggiornare le normative contro le truffe potenziate dall’AI. Perché diciamocelo: le leggi attuali sono state scritte quando il massimo della tecnologia criminale era il fax anonimo.
Il senatore Rick Scott, presidente dello Special Committee on Aging, parla del National Strategy for Combating Scams Act: ‘I truffatori criminali usano un toolkit sempre più sofisticato per spillare soldi agli americani che lavorano duramente’. Il tono è quello classico da dichiarazione ufficiale, ma il punto è solido. Serve coordinamento federale, non cinquanta stati che fanno cinquanta cose diverse.
L’AI contro l’AI: la battaglia si gioca sullo stesso campo
E qui viene la parte interessante. Google usa strumenti AI per combattere truffe create con AI. Una specie di Inception tecnologico.
Android ha la scam detection che vi avvisa durante le chiamate se qualcosa puzza. Le difese integrate nei messaggi intercettano più di 10 miliardi — sì, miliardi con la B — di messaggi maligni ogni mese. È una corsa agli armamenti dove entrambe le parti usano machine learning, pattern recognition, generazione automatica di contenuti.
Il congressman Brian Fitzpatrick, ex agente FBI, la mette giù chiara: ‘Questo non è spam. È crimine organizzato transnazionale che si muove attraverso i nostri telefoni, e richiede una risposta coordinata e aggressiva quanto la minaccia stessa’. Ex FBI, quindi uno che di reti criminali ne ha viste. E dice che questa è roba seria.
I carrier telefonici non stanno a guardare
AT&T blocca o etichetta miliardi di robocall e SMS spam ogni mese usando AI. T-Mobile parla di ‘network-level protections’ — protezioni a livello di rete, quindi prima ancora che il messaggio raggiunga il vostro dispositivo. Verizon sottolinea che ‘le difese tecniche da sole non bastano’, servono azioni legali aggressive e collaborazione con i governi federali e statali.
Tutti d’accordo su un punto: nessuno può farcela da solo. Serve una ‘collective defense’, come la chiama Rich Baich di AT&T. Ognuno porta il suo pezzo: Google la tecnologia e gli avvocati, l’FBI i mandati, i carrier il controllo della rete, il Congresso (speriamo) le leggi aggiornate.
E voi cosa potete fare nel frattempo?
Aspettare che Google vinca la causa? Beh, ci vorranno mesi se non anni. Nel frattempo: attivate la scam detection su Android se ce l’avete. Non cliccate link in SMS non sollecitati, anche se sembrano legittimi. Specialmente se sembrano legittimi — quello è il punto forte dell’AI criminale. E se ricevete un messaggio sospetto, segnalatelo. Quelle 55.000 segnalazioni in due settimane non sono solo statistiche: sono dati che alimentano i sistemi di difesa.
Questa non è la fine della guerra agli SMS truffa. È più tipo… il D-Day. Una grande operazione coordinata che potrebbe spostare gli equilibri. Ma i truffatori non spariranno domani mattina. Si adatteranno, troveranno nuovi canali, nuove tecniche. E Google, l’FBI e gli altri dovranno continuare ad adattarsi a loro volta.
La differenza stavolta è che stanno colpendo l’infrastruttura, non solo i sintomi. 9.000 siti, un milione di URL, l’intera rete di distribuzione dei phishing kit. Se riescono a smantellare davvero l’Outsider Enterprise, centinaia di piccoli truffatori perderanno i loro strumenti. Non è poco.
