Intelligenza artificiale

L’IA ha cambiato il panorama delle minacce. Ecco come Emburse rimane all’avanguardia.

October 16, 2025

9 min read

Una donna e un uomo usano un laptop in una sala server.

La tecnologia è sempre avanzata più velocemente delle politiche. Tuttavia, negli ultimi due anni abbiamo superato un punto di svolta: l’intelligenza artificiale sta trasformando la cybersicurezza in modo tanto profondo quanto sta trasformando il mondo del business.

Per i responsabili finanziari, i team viaggi e i decisori aziendali, questo significa che la posta in gioco e le opportunità sono più alte che mai per garantire che i loro strumenti di IA non vengano utilizzati in modo malevolo per rubare identità, lanciare attacchi di phishing o far trapelare dati nel giro di pochi secondi.

In questo Mese della sensibilizzazione sulla cybersicurezza analizzerò quattro rischi emergenti e come Emburse si sta evolvendo per restare all’avanguardia.

1. Deepfake e clonazione vocale: quando «fermarsi e verificare» diventa il minimo indispensabile

Oggi è possibile clonare la voce di una persona con solo pochi secondi di audio registrato. Questo significa che una telefonata ben preparata — una tattica nota come vishing, o “phishing vocale” — può sembrare esattamente come se a parlare fosse il tuo CEO o il tuo direttore finanziario, inducendo i dipendenti ad approvare bonifici fraudolenti o a condividere informazioni riservate. In un caso documentato, un’azienda di Hong Kong ha trasferito 25 milioni di dollari dopo che un truffatore ha commesso un furto d’identità fingendosi il direttore finanziario in una videochiamata.

Deloitte stima inoltre che le frodi potenziate dall’IA generativa potrebbero causare perdite per 40 miliardi di dollari negli Stati Uniti entro il 2027 (rispetto ai 12,3 miliardi del 2023).

Come risponde Emburse

In Emburse, aggiungiamo controlli aggiuntivi ai nostri flussi di lavoro finanziari ad alto rischio: le soglie di transazione attivano una verifica in tempo reale e le richieste vocali (anche da account "attendibili") richiedono una conferma indipendente.

Ma le politiche di rilevamento arrivano solo fino a un certo punto. Formiamo anche attivamente i nostri team perché si fermino a riflettere prima— indipendentemente da quanto possa sembrare credibile una richiesta.

2. Injection di istruzioni e governance dell’IA: proteggere i limiti di ciò che l’IA può fare

L’IA generativa è uno strumento molto potente, ma introduce anche nuove potenziali vulnerabilità. La principale è il prompt injection, in cui gli aggressori elaborano input che annullano le istruzioni del modello, inducendolo a rivelare informazioni riservate o a eseguire azioni indesiderate.

Il progetto OWASP GenAI individua la prompt injection come il principale rischio per i modelli linguistici di grandi dimensioni. Infatti, studi come Systematically Analyzing Prompt Injection Vulnerabilities mostrano che il 56% delle strategie di attacco tramite prompt testate ha avuto successo in diverse architetture di LLM.

Come risponde Emburse

Poiché gli attacchi informatici di prompt injection possono essere sottili e difficili da rilevare, operiamo secondo una filosofia di «zero trust» verso gli input dell’IA. Tutti i dati provenienti dall’esterno di qualsiasi sistema di IA vengono ripuliti, convalidati e messi in quarantena in caso di dubbi. Sottoponiamo le nuove funzionalità di IA a test di red teaming (attacchi informatici simulati), applichiamo il controllo degli accessi basato sui ruoli e implementiamo difese a più livelli per proteggere i sistemi a valle da istruzioni dannose provenienti da sistemi di IA.

3. Phishing potenziato dall’IA: quando gli aggressori portano la loro creatività a un nuovo livello

L’IA sta potenziando gli attacchi di phishing. Ora gli aggressori possono creare email personalizzate, scorrevoli e credibili su larga scala, rendendo i filtri tradizionali e la formazione meno efficaci. Secondo i rapporti di esperti di cybersicurezza di Hoxhunt e SOCRadar, dal lancio pubblico di ChatGPT, il volume degli attacchi di phishing è aumentato di oltre il 4.000%.

In test controllati, le email di phishing create con l’IA hanno superato quelle redatte da esperti umani, ottenendo un 24% di successo in più nell’ingannare i destinatari. Questo cambia completamente le regole del gioco per le strategie di difesa e pone sfide importanti.

Come risponde Emburse

In Emburse, il nostro approccio ha due aspetti:

  1. Rilevamento adattivo delle minacce: integriamo modelli di IA che analizzano la semantica delle email (tono, comportamento del mittente, contesto) invece di basarsi esclusivamente sul blocco tramite firme o euristiche.
  2. La cultura prima sulla conformità: La nostra formazione contro il phishing non è una semplice formalità, ma un processo continuo. Eseguiamo simulazioni dinamiche, incoraggiamo la segnalazione degli incidenti e promuoviamo una mentalità condivisa: se qualcosa ti sembra strano, controllalo due volte.

Per i team finanziari, questo significa non permettere mai che l’apparente legittimità di un mittente sostituisca i protocolli interni di verifica, soprattutto per le richieste relative a fondi, cambi di fornitori o ripristino delle credenziali.

4. IA ombra: il rischio nascosto negli strumenti di uso quotidiano

L’IA ombra si riferisce ai casi in cui i dipendenti utilizzano servizi di IA generativa non autorizzati (ad esempio ChatGPT o assistenti di scrittura) per aggirare le frizioni dei flussi di lavoro. Il rischio è che dati sensibili possano fuoriuscire dagli ambienti controllati senza che nessuno del reparto IT rilevi attività sospette.

Secondo il rapporto «Shadow AI Surge» di ManageEngine 2025:

  • Il 97% dei leader IT vede rischi significativi nell’IA ombra, mentre il 91% dei dipendenti ritiene che il rischio sia basso o gestibile
  • Nel frattempo, il 60% dei dipendenti riconosce che il proprio uso di strumenti di IA non approvati è aumentato di anno in anno
  • Inoltre, il 93% ha ammesso di aver inserito informazioni sensibili o dati di lavoro senza autorizzazione

Un altro dato interessante: oltre il 80% dei leader tecnologici afferma che l’adozione dell’IA sta procedendo più velocemente della loro capacità di valutare gli strumenti in modo sicuro, e circa il 37% dei dipendenti ammette di aver utilizzato dati interni (di clienti, finanziari, operativi) in tecnologie di IA ombra.

Come risponde Emburse

Ma invece di imporre divieti assoluti — che spesso spingono l’utilizzo verso la clandestinità — Emburse sostiene un modello di adozione governata. Pubbliciamo politiche di utilizzo chiare, definiamo quali dati sono accettabili e quali sono invece soggetti a restrizioni per il loro inserimento nell’IA e implementiamo strumenti interni di tutela della privacy con mascheramento dei dati e registrazione integrata delle attività. Allo stesso tempo monitoriamo i modelli di utilizzo dell’IA e segnaliamo i comportamenti anomali che potrebbero richiedere un intervento.

Dalla consapevolezza del rischio alla fiducia resiliente

La cybersicurezza non consiste più solo nel bloccare gli attacchi informatici. Ora si tratta di proteggere la fiducia nei tuoi dati sensibili, nei tuoi flussi di lavoro e nelle tue persone. Per i responsabili finanziari e operativi, la fiducia è alla base di ogni transazione, di ogni approvazione e di ogni euro che viene movimentato.

In Emburse, non consideriamo la sicurezza come una funzione isolata. È parte integrante del modo in cui progettiamo, sviluppiamo e gestiamo Emburse Expense Intelligence: controlli adattivi, orchestrazione intelligente e percorsi decisionali incentrati sulle persone, tutto integrato fin dall’inizio.

Man mano che l’IA evolve e i criminali informatici la utilizzano in modo sempre più creativo, la nostra migliore difesa contro queste minacce emergenti è la vigilanza, una buona governance e un sano scetticismo. La consapevolezza è il primo passo. Ciò in cui sceglieremo di credere d’ora in avanti — e con quanta responsabilità — plasmerà il futuro della fiducia digitale.

Richiedi una demo personalizzata e scopri cosa può offrire alla tua organizzazione la gestione di viaggi e spese basata sull’IA.