Candidati deepfake ai colloqui: Come i truffatori si infiltrano nelle aziende

I candidati deepfake usano l'intelligenza artificiale per superare i colloqui video e infiltrarsi nelle aziende. Scopri come funziona la truffa dei colloqui deepfake e come proteggere il tuo processo di assunzione nel 2026.

· Truvizy Research Team · 8 min read

TL;DR

I criminali stanno usando la tecnologia deepfake e identità rubate per superare colloqui di lavoro a distanza, farsi assumere in aziende legittime e poi rubare dati, installare malware o dirottare stipendi all'estero. L'FBI ha emesso avvisi già nel 2022, e la minaccia si è intensificata con strumenti di IA più accessibili nel 2026. Verificare i candidati tramite controlli dei precedenti in tempo reale e colloqui secondari di persona è ora essenziale.

Il tuo team HR ha appena concluso un promettente colloquio Zoom per una posizione di ingegnere software senior. Il candidato era eloquente, tecnicamente brillante e il suo curriculum era impeccabile. Fai un'offerta. Tre settimane dopo l'assunzione, il tuo team di sicurezza segnala un'insolita attività di esfiltrazione dati dal suo account. Un'indagine forense rivela che il "dipendente" non era affatto chi diceva di essere, ha utilizzato una sovrapposizione facciale generata dall'IA durante ogni videochiamata, un'identità rubata e documenti falsificati per essere assunto. Il codice base della tua azienda, i dati dei clienti e i sistemi interni sono stati silenziosamente saccheggiati. Questa è la truffa del candidato deepfake, e sta accadendo proprio ora a aziende di ogni settore.

Cos'è la truffa del candidato deepfake?

La truffa del candidato deepfake è una forma di frode nell'assunzione basata sull'identità in cui i criminali utilizzano strumenti di scambio facciale basati sull'IA in tempo reale per impersonare una persona legittima, o un'identità completamente fabbricata, durante i colloqui di lavoro video a distanza. L'FBI ha emesso il suo primo avviso formale su questa minaccia nel giugno 2022, avvertendo i datori di lavoro che le segnalazioni di candidati deepfake che si candidavano per posizioni tecnologiche remote erano aumentate significativamente. Entro il 2025, la tattica era diventata un metodo di frode diffuso, non una curiosità di nicchia.

Questi truffatori non vogliono solo lo stipendio. Molti fanno parte di reti criminali organizzate, inclusi, secondo il Dipartimento di Giustizia degli Stati Uniti, lavoratori IT nordcoreani sponsorizzati dallo stato che si infiltrano in aziende americane per generare valuta pregiata per programmi di armamenti e per condurre spionaggio. Altri sono criminali motivati finanziariamente che monetizzano credenziali rubate, dati e accesso ai sistemi sui mercati del dark web.

La truffa è resa possibile da tre fattori convergenti: la normalizzazione delle assunzioni completamente remote senza verifica di persona, la disponibilità commerciale di software di scambio facciale in tempo reale che costa meno di $30 al mese, e una fornitura globale di identità personali rubate che i truffatori utilizzano come persona fittizia sottostante.

Come funzionano le truffe deepfake nei colloqui di lavoro

L'attacco inizia settimane o mesi prima di qualsiasi colloquio. Il truffatore acquisisce un'identità rubata, nome di una persona reale, storia del curriculum, credenziali educative e talvolta anche il suo profilo LinkedIn, che clonano o impersonano. Possono pagare per servizi professionali di redazione di curriculum e colmare le lacune con referenze fabbricate supportate da numeri di telefono ed indirizzi email usa e getta.

Quando il colloquio video è programmato, il truffatore carica uno strumento di sostituzione facciale in tempo reale, software che sostituisce il loro feed della telecamera dal vivo con un volto sintetico modellato sulle foto dell'identità rubata. L'output viene immesso nella piattaforma di videoconferenza come una telecamera virtuale. Durante la chiamata, il truffatore può parlare naturalmente mentre l'IA rende un volto diverso quasi in tempo reale. Inclinazioni della testa, espressioni e movimenti della bocca sono approssimati, anche se raramente perfettamente.

Una volta assunto, il criminale si integra utilizzando una VPN o un relay di desktop remoto per mascherare la sua vera posizione geografica. Potrebbe "impiegare" un team di lavoratori reali dietro le quinte che si occupano delle mansioni lavorative effettive mentre lui si concentra sull'esfiltrazione. La retribuzione è tipicamente indirizzata a portafogli di criptovalute esteri o a conti di prestanome. L'intera operazione può rimanere inosservata per mesi.

La tabella seguente riassume le fasi dell'attacco e cosa accade tipicamente in ogni fase:

Professionista HR che esamina una registrazione di un colloquio video su un monitor con strumenti di analisi basati sull'IA che rilevano artefatti di manipolazione facciale
Professionista HR che esamina una registrazione di un colloquio video su un monitor con strumenti di analisi basati sull'IA che rilevano artefatti di manipolazione facciale

Segnali d'allarme per individuare candidati deepfake

Professionisti delle risorse umane e responsabili delle assunzioni qualificati possono individuare molti candidati deepfake prima che venga fatta un'offerta. I seguenti segnali d'allarme dovrebbero attivare verifiche aggiuntive:

Scansiona una registrazione sospetta di un colloquio video con Truvizy per rilevare manipolazioni deepfake prima di prendere una decisione di assunzione.

Come Truvizy rileva le frodi deepfake durante i colloqui

L'analisi multistrato basata sull'IA di Truvizy è progettata precisamente per questa minaccia. Quando carichi o invii un link a un'intervista video registrata su truvizy.app, la piattaforma applica un riconoscimento avanzato dei modelli attraverso dimensioni visive, temporali e comportamentali. Il sistema esamina la coerenza dei fotogrammi, la coerenza dei contorni facciali, l'autenticità delle micro-espressioni e l'allineamento audio-visivo, modelli che sono statisticamente anomali nei video generati da deepfake ma appaiono naturalmente nelle registrazioni autentiche.

Il rilevamento di Truvizy fornisce ai team HR un punteggio di confidenza utilizzabile e una spiegazione chiara delle anomalie rilevate. A differenza degli strumenti generici di analisi video, Truvizy è specificamente addestrato sulle minacce emergenti dei media sintetici e aggiornato continuamente man mano che emergono nuove tecniche di generazione deepfake. Per le aziende che gestiscono assunzioni remote ad alto volume, l'analisi di Truvizy aggiunge un livello di verifica critico che la revisione manuale non può fornire in modo affidabile su larga scala.

Cosa fare se ti imbatti in un candidato deepfake

Se sospetti che un candidato stia utilizzando la tecnologia deepfake, non avvisarlo durante l'intervista. Tratta il processo normalmente per evitare di allertare una rete criminale organizzata. Quindi segui questi passaggi:

Team di assunzione che esamina una checklist di verifica del candidato su un laptop con un flusso di lavoro del processo di assunzione protetto visibile
Team di assunzione che esamina una checklist di verifica del candidato su un laptop con un flusso di lavoro del processo di assunzione protetto visibile

Key Takeaways

Durante un colloquio video, noti che il volto del candidato sembra avere un leggero glitch quando gira rapidamente la testa, e i bordi dei suoi capelli appaiono sfocati. Qual è il passo successivo più appropriato?

  1. Ignoralo, è probabilmente solo una cattiva connessione internet
  2. Termina immediatamente il colloquio e accusali di frode
  3. Completa il colloquio normalmente, quindi scansiona la registrazione e richiedi la verifica dell'identità di persona prima di qualsiasi offerta
  4. Chiedi loro di salutare con la mano e supponi che sia tutto a posto se lo fanno

Answer: L'approccio corretto è evitare di allertare il truffatore mentre si raccolgono prove. Salva la registrazione, scansionala con strumenti di rilevamento basati sull'IA, e richiedi una verifica dell'identità di persona o autenticata dal notaio prima di estendere qualsiasi offerta. Non accusare mai senza prove documentate.

Videochiamate Deepfake: Come i truffatori impersonano il tuo capo su Zoom — La tecnologia deepfake in tempo reale viene utilizzata durante le chiamate live su Zoom e Teams, ecco come rilevarla e difendersi

Come individuare un video deepfake: Guida completa al rilevamento — Indizi visivi, segnali tecnici e strumenti basati sull'IA per identificare contenuti video sintetici

Guida alla protezione dai deepfake: Difendi te stesso e la tua organizzazione — Strategie complete per proteggersi dalle minacce deepfake a livello personale e organizzativo

FAQ

Cos'è una truffa del candidato deepfake?

Una truffa del candidato deepfake si verifica quando un truffatore utilizza software di scambio di volti basato su intelligenza artificiale e un'identità rubata o fabbricata per superare un colloquio di lavoro video a distanza. Una volta assunto, il criminale utilizza il proprio accesso per rubare dati aziendali, distribuire malware o reindirizzare i pagamenti degli stipendi. Secondo l'FBI, questi incidenti stanno crescendo rapidamente e ora prendono di mira aziende tecnologiche, finanziarie e sanitarie.

Truvizy può rilevare candidati deepfake?

Sì. L'analisi multistrato basata su intelligenza artificiale di Truvizy può analizzare le registrazioni video dei colloqui di lavoro per rilevare manipolazioni facciali sintetiche, illuminazione incoerente, schemi di battito di ciglia innaturali e discrepanze audiovisive che indicano la tecnologia deepfake. I team HR possono scansionare le registrazioni dei colloqui direttamente su truvizy.app prima di estendere un'offerta.

Come faccio a sapere se un candidato sta usando un deepfake?

I segnali d'allarme principali includono: un leggero ritardo video quando il candidato muove la testa, il rifiuto di girarsi di lato o di mostrare il proprio ambiente alla telecamera, sincronizzazione labiale non corrispondente, una texture della pelle eccessivamente liscia, bordi di capelli o occhiali che presentano glitch e un'incoerenza tra il loro aspetto nel video e le foto d'identità inviate. Chiedere al candidato di eseguire un'azione spontanea inaspettata può anche rivelare le limitazioni del deepfake.

Quali settori sono più colpiti dalle truffe di lavoro deepfake?

Secondo gli avvisi dell'FBI IC3, i ruoli tecnologici a distanza sono i più comunemente presi di mira, ingegneri del software, amministratori IT, gestori di database e ruoli di infrastruttura cloud. L'IT sanitario e il fintech sono anche obiettivi di alto valore a causa dei dati sensibili a cui questi ruoli accedono. L'FBI ha specificamente evidenziato che lavoratori IT nordcoreani hanno utilizzato questo metodo per infiltrarsi in aziende tecnologiche statunitensi.

Cosa dovrebbero fare le aziende se hanno assunto un candidato deepfake?

Sospendere immediatamente l'accesso a tutti i sistemi, revocare le credenziali e coinvolgere il team di risposta agli incidenti o la società di cybersecurity. Presentare una segnalazione all'FBI IC3 su ic3.gov. Notificare i dipartimenti HR e legali e tutti i clienti o custodi dei dati interessati. Condurre un audit completo dell'accesso ai dati e delle modifiche al sistema effettuate dal dipendente fraudolento dall'assunzione.