Le chiamate con voci sintetiche non sono più fantascienza: imitano timbri familiari, chiedono denaro con urgenza e puntano a far sbagliare in pochi minuti. Un allarme in piena regola per chi gestisce risparmi e pagamenti digitali. L’arma più efficace resta un protocollo semplice: riconoscere gli indizi sonori, interrompere lo script, verificare fuori banda e applicare barriere tecniche che fermano l’azione prima che diventi perdita.
Questa guida entra nel merito operativo: anomalie prosodiche che tradiscono l’IA, segnali di latenza in chiamata, parole trigger che svelano la manipolazione. Poi, parole di sicurezza in famiglia, filtri antiphishing per email e banca e un mini-kit di strumenti e script per controlli rapidi, senza cedere all’ansia del momento.
Segnali nella voce: anomalie prosodiche che tradiscono l’IA
Una voce sintetica suona naturale finché non si ascolta la prosodia. Prestare attenzione a ritmo, accenti, pause e micro-variazioni di intensità. Sospetti tipici: intonazione troppo regolare, risate senza aria, respiri identici a ogni frase, consonanti sibilanti smussate e transizioni tra sillabe troppo pulite. Chiedere frasi con numeri e scioglilingua (“giovedì 17, via Garibaldi 27, scala B”) accentua difetti di dizione. Notare anche “attacchi” delle parole: spesso l’IA taglia l’inizio o sfuma la fine. Un controllo empirico consiste nel far ripetere una frase lunga con un cambio di ritmo a metà: l’algoritmo fatica a mantenere coerenza di accenti e volume.
Lag, eco e silenzi: la latenza come campanello d’allarme
Molti sistemi di voice cloning introducono piccoli ritardi. Interrompere l’interlocutore con un “scusa un attimo” e misurare la reazione: un mezzo secondo di lag ricorrente o risposte che partono a frase finita indicano pipeline di generazione. Anche eco e compressioni aggressive sono segnali: la voce si fa granulosa quando l’algoritmo rigenera su audio degradato. Inserire rumore improvviso (battere due volte sulla scrivania vicino al microfono) può destabilizzare la catena sintetica: se la voce non varia o “clippera” in modo innaturale, meglio chiudere e richiamare su numero salvato in rubrica. Nessun trasferimento fondi finché non si è fatto un callback verificato.
Parole trigger e script dei truffatori: interrompere il copione
I tentativi riusciti condividono lessico e ritmo. Attenzione a urgenza (“subito”, “ora”, “entro 10 minuti”), segretezza (“non dirlo a nessuno”), strumenti insoliti (“gift card”, “crypto”, “voucher”), e richieste di OTP o approvazioni push. Tre contromosse immediate: 1) imporre un compito “fuori copione” (“ripeti esattamente questa frase: ‘le zebra non usano l’ombrello’”); 2) fare domande con dettagli incrociati non pubblici (soprannome d’infanzia, nome del veterinario del cane); 3) spostare il canale (“ti richiamo io sul numero in rubrica”). Se emergono pressioni a restare in linea o a cambiare canale su app sconosciute, trattasi di social engineering.
Parole di sicurezza in famiglia e protocolli di emergenza
Stabilire una parola di sicurezza di famiglia, diversa per ogni nucleo, lunga e non ovvia (“mare+nocciola+74”). Cambiarla ogni sei mesi. Regola: in caso di richieste economiche, pronunciarla senza essere sollecitati. Se l’interlocutore evita o sbaglia, la chiamata si chiude. A casa e in azienda conviene fissare protocolli: nessun OTP condiviso, nessuna approvazione di bonifico su telefonata, verifiche a due persone per trasferimenti sopra soglia, “cold callback” su numeri ufficiali, mai su contatti appena inviati in chat. Impostare in banca limiti giornalieri ridotti e whitelist di beneficiari: rallentare il denaro è la migliore assicurazione psicologica.
Filtri antiphishing su email, telefono e app bancarie
Ridurre la superficie d’attacco aiuta a non arrivare alla telefonata. In posta, creare filtri che spostano in quarantena messaggi con parole come bonifico“carta bloccata”, “OTP”, allegati.html o domini appena registrati. Attivare l’autenticazione a due fattori su email e banca, con app di OTP e non SMS. Sul telefono: silenziare chiamate da numeri sconosciuti, mostrare ID aziendali certificati, installare un filtro antispam che segnala call center non verificati. Nelle app bancarie: notifiche push per ogni movimento, revisione dei dispositivi autorizzati, blocco temporaneo della carta via app. Se arriva una richiesta inusuale, sospendere l’operazione e contattare l’assistenza dall’interno dell’app, mai da link ricevuti.
Tool e script di verifica: kit rapido “a prova di truffa”
Chi gestisce pagamenti può dotarsi di un micro-kit forense. Con Audacity o Praat si controllano spettrogrammipattern troppo regolari e formanti “piatte” sono sospette. Con ffmpeg si evidenziano artefatti: applicare un high-pass leggero e riascoltare (“ffmpeg -i input.wav -af highpass=f=1200 out.wav”). Per confrontare una voce con campioni autentici, un approccio locale usa SpeechBrain o Resemblyzer in Python: estrarre embedding vocali e misurare la distanza; scostamenti alti tra chiamata e campioni fidati suggeriscono cautela. Prima di registrare chiamate, verificare le norme sulla privacy e informare l’interlocutore dove richiesto. In azienda, integrare un bot interno che, su richiesta, lancia uno script di trascrizione e segnala termini ad alto rischio (bonifico, OTP, urgente) per un alert immediato.
- Analisi rapida: Audacity/Praat per pause e formanti.
- Pre-filtri: ffmpeg per evidenziare artefatti e clipping.
- Confronto: embedding vocali locali (no cloud) per tutela dati.
- Alert testuale: regole che marcano parole a rischio nelle trascrizioni.
