Il conteggio più recente dell'Federal Bureau of Investigation rende la matematica brutalmente semplice: consumatori e imprese americane hanno perso 20,9 miliardi di dollari a causa di frodi abilitate da Internet nel 2025. Ma la cifra principale nasconde uno spostamento più inquietante nell'economia criminale. La maggior parte di queste perdite non è derivata da sofisticate implementazioni di malware o elaborate violazioni di dati—le minacce che consumano la maggior parte dei budget per la sicurezza informatica e dell'attenzione normativa. Invece, il danno è derivato da qualcosa di molto più corrosivo: messaggi, chiamate e profili digitali che erano semplicemente abbastanza convincenti da funzionare.

Questa migrazione verso frodi basate sull'autenticità segna un'inversione fondamentale del paradigma di sicurezza informatica che ha dominato il settore bancario e dei pagamenti negli ultimi due decenni. L'industria ha costruito le sue difese intorno all'assunto che gli attaccanti avrebbero avuto bisogno di sofisticazione tecnica: exploit zero-day, infrastrutture botnet, credenziali rubate elaborate attraverso schemi di riciclaggio complessi. Un enorme capitale è fluito verso la protezione degli endpoint, la segmentazione della rete e il rilevamento delle violazioni. Il problema era sempre stato inquadrato come un problema tecnologico, risolvibile attraverso più tecnologia.

L'intelligenza artificiale ha demolito questo assunto. Trasformando in una merce la creazione di testi persuasivi, voci sintetiche e mimesi comportamentale, l'IA ha invertito la struttura dei costi della frode. Dove una campagna tradizionale di social engineering una volta richiedeva costosi operatori umani—ricercatori, linguisti, attori—un sistema di IA può ora generare centinaia di migliaia di messaggi di phishing personalizzati, interazioni di chiamate contraffatte e profili di identità fabbricati con costo marginale. Le barriere all'ingresso sono crollate. Una persona con competenze di base nell'ingegneria dei prompt e crediti modesti di cloud computing può ora lanciare un'operazione di frode che avrebbe richiesto un team e un'infrastruttura sostanziale cinque anni fa.

Le istituzioni finanziarie hanno iniziato a schierare i propri sistemi di IA in risposta, creando quello che ammonta a una corsa agli armamenti tra modelli generativi addestrati per ingannare e sistemi di machine learning addestrati per rilevare l'inganno. In superficie, questo sembra razionale: combattere l'IA con l'IA, adeguarsi alla velocità e alla scala dell'attaccante. Eppure questo inquadramento manca una vulnerabilità cruciale nella posizione dei difensori. Gli attaccanti non affrontano alcun onere normativo. Operano su una pura frontiera dell'efficienza—qualunque cosa generi entrate con attrito minimo viene schierata immediatamente. I difensori, nel frattempo, lavorano sotto vincoli che gli attaccanti non hanno: tassi di falsi positivi che frustrino i clienti legittimi, requisiti di conformità che limitino l'uso di certe tecniche di rilevamento e avversione al rischio istituzionale che rallenti lo schieramento di tecnologie non provate.

Considerare la realtà pratica presso un grande elaboratore di pagamenti o una banca digitale. I sistemi di rilevamento delle frodi devono bilanciare imperativi concorrenti: catturare i criminali senza bloccare le transazioni legittime. Un sistema troppo aggressivo crea attrito del cliente, abbandono e perdita di entrate. Un sistema troppo permissivo consente il passaggio della frode. Quella tensione non è nuova, ma l'IA l'ha resa acuta. Un modello di machine learning addestrato per identificare voci sintetiche nelle chiamate del servizio clienti potrebbe contrassegnare chiamanti legittimi con accenti pesanti o disturbi della voce. Un sistema che rileva email di phishing generate da IA con una precisione del 99 percento genererà comunque centinaia di falsi positivi al giorno su larga scala, ognuno richiedente revisione umana o correzione del cliente. Il costo economico e operativo dei falsi positivi è reale e immediato; il beneficio di catturare la frode è diffuso e statistico.

Le banche e le reti di pagamento—istituzioni regolate dalla BCE, reti di carte come Visa e Mastercard, e attori fintech emergenti come Wise e Revolut—affrontano un problema secondario: si stanno difendendo da minacce originanti al di fuori del loro controllo diretto. Un cliente ingannato da un'email generata da IA che impersona la propria banca è un cliente la cui fiducia nell'istituzione è rotta, indipendentemente dal fatto che la banca stessa sia stata tecnicamente compromessa. Il danno reputazionale è severo e duraturo. Eppure la banca non può semplicemente rifiutarsi di operare in un ambiente digitale dove tali attacchi si verificano. La pressione competitiva per offrire esperienze digitali senza soluzione di continuità—onboarding veloce, pagamenti senza attrito, passaggi di verifica minimi—crea esattamente le vulnerabilità che la frode guidata dall'IA sfrutta.

Gli organi di vigilanza hanno iniziato a riconoscere questa asimmetria. L'Autorità bancaria europea e agenzie di vigilanza simili stanno spingendo per standard di autenticazione più forti e monitoraggio delle frodi più rigoroso. Eppure la normativa affronta il proprio problema di ritardo: entro il momento in cui una nuova norma è codificata e implementata, il panorama delle minacce si è già evoluto. I criminali non stanno aspettando che i comitati si riuniscano.

Ciò che questo significa per l'ecosistema dei pagamenti è un periodo di transizione scomoda. Il vecchio modello—dove un piccolo numero di grandi istituzioni controllava la maggior parte dell'infrastruttura di rilevamento delle frodi e poteva imporre i propri standard ai clienti attraverso il puro potere di mercato—si sta frantumando. Le aziende fintech più piccole, prive della scala per assorbire le perdite da frode o gestire sistemi massicci di rilevamento, affrontano rischi sproporzionati. I clienti, sempre più scettici nei confronti dei canali digitali, possono migrare verso metodi di pagamento più lenti e più manuali che si sentono più sicuri anche se statisticamente più rischiosi. E le istituzioni continueranno a investire nel rilevamento guidato dall'IA, sapendo che l'investimento offre solo un vantaggio temporaneo prima che gli attaccanti si adattino.

La perdita di 20,9 miliardi di dollari non è principalmente un problema tecnologico che un altro miliardo di dollari di spesa in tecnologia risolverà. È un problema di informazione: gli attaccanti possono ora generare autenticità su scala, e i difensori non riescono a distinguere efficientemente l'autentico da quello fabbricato alla velocità e al volume richiesti. La soluzione—se esiste—probabilmente richiederà non solo sistemi di rilevamento migliori ma una ristrutturazione fondamentale di come la fiducia e l'identità sono stabilite nella finanza digitale. Quella ristrutturazione sarà dolorosa, costosa e dirompente. Ma il percorso attuale, dove la frode generata dall'IA accelera mentre le difese rimangono strutturalmente asimmetriche, è insostenibile.

Scritto dal team editoriale — giornalismo indipendente alimentato da Codego Press.