Close Menu
    Trending

    Le password non possono proteggere dall’IA

    By 7 Mins Read

    Perché persino le “password complesse” non possono proteggerti dall’intelligenza artificiale, dai programmi di furto di dati e dal mondo clandestino di Telegram

    password-cybersecurity
    Foto di Gerd Altmann da Pixabay

    Check Point Software Technologies, specializzato in soluzioni di cyber security, in occasione della Giornata Mondiale della Password 2026 fornisce qualche consiglio e considerazione per proteggersi online.

    Il panorama delle minacce informatiche si è rapidamente evoluto in un’economia industrializzata di Cybercrime-as-a-Service (CaaS) alimentata dall’IA generativa. Di conseguenz: a il tradizionale consiglio di “utilizzare una password complessa con numeri e simboli” sembra irrimediabilmente superato. Oggi, una password di 16 caratteri è inutile se un malware di tipo infostealer la estrae direttamente dalla cache del browser o se un dipendente la incolla volontariamente in un chatbot AI non gestito.

    Per comprendere il moderno ecosistema del furto di identità, bisogna guardare oltre la schermata di accesso e immergersi nella relazione simbiotica tra il dark web, Telegram e l’IA.

    Il mercato sommerso ha subito un massiccio cambiamento di piattaforma”, afferma David Gubiani, Regional Director Sales Engineering EMEA Southern & Israel di Check Point Software Technologies. “I tradizionali forum del Dark Web vengono ora utilizzati principalmente per stabilire la credibilità dei venditori, mentre gli acquirenti vengono rapidamente indirizzati verso canali Telegram privati e bot automatizzati per transazioni immediate. Questo cambiamento ha accelerato la velocità con cui i dati rubati vengono monetizzati”.

    L’ Indice dei prezzi del Dark Web 2025/2026 di Privacy Affairs e DeepStrike mostra come i mercati operino in base alla legge della domanda e dell’offerta:

    • Intrattenimento e social: un eccesso di offerta di dati rubati ha fatto scendere i prezzi. Un account Facebook hackerato viene venduto a circa 45 dollari, mentre un account Gmail costa in media dai 60 ai 65 dollari
    • Finanza: le carte di credito standard con CVV costano dai 10 ai 40 dollari, ma gli accessi verificati a banche online e a criptovalute con saldi elevati raggiungono prezzi che vanno dai 200 ai 1.170 dollari e oltre
    • Accesso aziendale: il mercato più redditizio è quello degli Initial Access Brokers (IAB) che offrono l’accesso diretto a specifiche reti aziendali (VPN o RDP). Secondo il rapporto sugli Initial Access Brokers di Rapid7, i prezzi di base medi degli IAB si aggiravano intorno ai 2.700 dollari, ma l’accesso amministrativo con privilegi elevati ha visto i prezzi salire a oltre 113.000 dollari.

    La portata di questa economia sommersa è sbalorditiva. Gli abbonamenti a malware di alto livello per il furto di informazioni come LummaC2 o RedLine vanno da 100 a circa 1.024 dollari al mese, rendendo più conveniente che mai per i cybercriminali alle prime armi raccogliere milioni di password.

    L’epidemia delle password: riutilizzo delle credenziali e fughe di dati causate dall’IA generativa

    L’efficacia di questi database rubati dipende interamente dalla psicologia umana. Nonostante anni di avvertimenti, gli utenti continuano a riutilizzare le password. Il 94% delle password viene riutilizzato su due o più account. I dati del Data Breach Investigations Report 2025 di Verizon mostrano che solo il 3% delle password soddisfa i requisiti di complessità del NIST relativi alle migliori pratiche in materia. Quando una piattaforma viene violata, gli attacchi automatizzati di credential stuffing sbloccano istantaneamente i profili utente su centinaia di altri servizi.

    La maggior minaccia legata al fattore umano nel 2026 non è solo il riutilizzo delle password. Si assiste a una moltitudine di dipendenti che inavvertitamente inseriscono informazioni sensibili aziendali direttamente negli strumenti di IA.

    Secondo il LayerX Browser Security Report 2025, il copia-incolla nei browser ha superato i trasferimenti di file come principale vettore di esfiltrazione dei dati aziendali. Un enorme 45% dei dipendenti utilizza attivamente strumenti di IA, e il 77% di questi utenti incolla i dati direttamente nei prompt dell’IA, il che è pericoloso. Secondo Check Point Research, nel mese di marzo 2026, 1 su 28 prompt GenAI inviati da ambienti aziendali presentava un alto rischio di fuga di dati sensibili, con un impatto sul 91% delle organizzazioni che utilizzano regolarmente strumenti GenAI. Un ulteriore 17% dei prompt conteneva informazioni potenzialmente sensibili. A peggiorare le cose, secondo il rapporto di LayerX l’82% di queste operazioni di copia-incolla avviene tramite account personali non gestiti, creando un enorme punto cieco.

    Quando questi strumenti di IA vengono compromessi, la società di intelligence sulle minacce Group-IB ha riferito che almeno 225.000 set di credenziali OpenAI/ChatGPT sono stati messi in vendita sul dark web dopo essere stati raccolti da infostealer8. Quando i dipendenti utilizzano dispositivi personali infettati da infostealer per accedere agli strumenti di IA con credenziali aziendali, il ciclo dei dati è devastante.

    Phishing 2.0: IA, deepfake e la crisi dell’impersonificazione

    Con l’IA che abbassa la barriera d’ingresso, è arrivato il Phishing 2.0: Kit personalizzati e basati sull’IA di “Phishing-as-a-Service” vengono venduti a meno di 100 dollari al mese su Telegram. Il trucco più comune, e di maggior successo, rimane la falsa richiesta di reimpostazione della password da parte dell’IT o delle Risorse Umane o il portale VPN fraudolento. L’IA garantisce che queste esche siano scritte alla perfezione, prive di errori di battitura e altamente mirate.

    Grazie a questa sofisticazione, le e-mail di phishing generate dall’IA raggiungono tassi di clic sbalorditivi fino al 54% (rispetto al 12% circa del phishing tradizionale), secondo uno studio di Brightside AI del 2024.

    La minaccia si è estesa oltre il testo:

    • Il costo dei deepfake: gli abbonamenti di base per la clonazione vocale tramite IA costano solo pochi dollari al mese e si basano sulla tecnologia deepfake. Secondo l’Identity Fraud Report 2024 di Onfido, si è registrato un aumento del 3.000% dei deepfake.
    • Falsificazione dell’identità dei dirigenti: le tecniche di ingegneria sociale di alto livello stanno causando gravi danni. È incredibilmente comune che i criminali informatici si spaccino per il responsabile IT o per un dirigente di alto livello per estorcere le credenziali di accesso ai dipendenti. Una singola videochiamata deepfake è costata alla società di ingegneria Arup 25,6 milioni di dollari. L’attacco ha coinvolto una sofisticata videoconferenza con più partecipanti in cui sono state utilizzate immagini deepfake generate dall’intelligenza artificiale raffiguranti il direttore finanziario dell’azienda e altri dirigenti senior. Questo caso ha dimostrato che gli attacchi complessi e multimodali non sono più solo teorici: stanno accadendo ora, con risultati catastrofici.
    • Deepfake Vishing: la clonazione vocale può essere creata a partire da soli 3 secondi di audio, aumentando notevolmente l’esposizione del team finanziario alle frodi di impersonificazione. Come riportato da Fortune nel dicembre 2025, la clonazione vocale ha superato la “soglia dell’indistinguibilità”, il che significa che gli ascoltatori umani non sono più in grado di distinguere in modo affidabile le voci clonate da quelle autentiche.

    Il tempo che intercorre tra la fuga di una password e il lancio di un attacco ransomware su larga scala si sta riducendo a una velocità spaventosa. Secondo Beazley Security (terzo trimestre 2025), il 48% degli attacchi ransomware ha utilizzato credenziali VPN rubate come vettore di accesso iniziale. Tuttavia, il rapporto IBM 2025 sul costo delle violazioni dei dati ha rilevato che le violazioni basate sulle credenziali richiedono in media 246 giorni, un tempo incredibilmente lungo, per essere identificate e contenute.

    In netto contrasto, gli operatori di ransomware si muovono alla velocità della luce. Se la vostra azienda impiega settimane per rilevare una credenziale rubata, la battaglia è già persa.

    Check Point suggerisce alcune strategie che le organizzazioni possono adottare per difendersi:

    1. Adottare soluzioni senza password e FIDO2: l’unica vera difesa contro il phishing e gli infostealer è eliminare completamente la password. Il passaggio alle passkey FIDO2 garantisce che, anche se un dipendente viene indotto con l’inganno a visitare una pagina di accesso falsa, non ci siano credenziali riutilizzabili da rubare.
    2. Implementare il Zero Trust incentrato sull’identità: i team di sicurezza devono trattare ogni tentativo di autenticazione con scetticismo e combinare l’Endpoint Detection and Response (EDR) con l’Identity Threat Detection and Response (ITDR) per correlare le anomalie comportamentali in entrambi gli ambienti.
    3. Controllare il vettore del browser AI: le aziende devono adottare browser aziendali o estensioni di sicurezza per browser per monitorare, governare e impedire che dati sensibili vengano incollati in contesti non autorizzati.
    4. Monitoraggio continuo del Dark Web e di Telegram: aspettare la notifica di una violazione è troppo tardi. Le organizzazioni hanno bisogno di un monitoraggio continuo delle informazioni sulle minacce per individuare le credenziali oggetto di scambio prima che gli Initial Access Broker possano venderle agli affiliati dei gruppi di ransomware.

    Un tempo le password erano le chiavi del castello”, conclude David Gubiani. “Oggi sono una risorsa a rischio, oggetto di un intenso traffico sul Dark Web. Guardando al futuro, la sicurezza aziendale dipenderà dalla verifica dei comportamenti, non solo da una stringa di caratteri”.

    Share.

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati