Il CEO di una società di sicurezza informatica specializzata in intelligenza artificiale è finito vittima di un colloquio di lavoro condotto da un candidato che utilizzava un deepfake video. Jason Rebholz, fondatore di Evoke Security, ha raccontato pubblicamente l'esperienza dopo aver ricevuto una candidatura sospetta tramite LinkedIn per una posizione di security researcher. L'episodio evidenzia come anche gli esperti di cybersecurity possano cadere in queste sofisticate truffe orchestrate principalmente da lavoratori IT nordcoreani che cercano di infiltrarsi nelle aziende occidentali.
Il fenomeno ha assunto proporzioni allarmanti nel panorama aziendale globale. Amazon ha bloccato oltre 1.800 candidati sospetti provenienti dalla Repubblica Popolare Democratica di Corea dal solo aprile 2024, registrando un incremento del 27 per cento delle candidature affiliate al regime nordcoreano su base trimestrale. Secondo il Chief Security Officer Steve Schmidt, praticamente tutte le aziende Fortune 500 hanno subito tentativi di infiltrazione, con perdite stimate in decine di milioni di dollari per il sistema economico statunitense.
Rebholz, che prima di fondare la propria startup aveva lavorato come incident responder e CISO, studia i deepfake da anni e li utilizza nelle sue presentazioni professionali. La sua esperienza rende il caso ancora più significativo: se un esperto del settore fatica a smascherare immediatamente la frode, le piccole e medie imprese risultano particolarmente vulnerabili. "Le aziende di dimensioni ridotte sono vittime altrettanto frequenti", ha dichiarato Rebholz, sottolineando come non sia necessario essere un colosso tecnologico per finire nel mirino dei truffatori.
La dinamica della truffa si è sviluppata attraverso una serie di segnali d'allarme progressivi. Il contatto iniziale è arrivato tramite messaggio diretto su LinkedIn da una persona sconosciuta che proponeva un candidato per la posizione aperta. La foto profilo del presunto candidato sembrava un personaggio anime, il curriculum era ospitato su Vercel (piattaforma cloud che si integra con strumenti di AI come Claude), e il contatto mostrava un'urgenza insolita nel sollecitare risposte immediate. Nonostante questi elementi sospetti, Rebholz ha deciso di procedere con il colloquio.
Durante l'intervista video, il candidato ha impiegato 30 secondi per attivare la telecamera, apparendo poi con uno sfondo virtuale e un volto dall'aspetto sfocato e artificiale. Nei riflessi degli occhiali era visibile un greenscreen, e a tratti comparivano fossette innaturali sul viso. L'analisi successiva condotta con il software di rilevamento deepfake dell'azienda Moveris ha confermato i sospetti. Il comportamento del candidato risultava altrettanto anomalo: ripeteva le domande prima di rispondere e forniva risposte che citavano quasi letteralmente dichiarazioni pubbliche dello stesso Rebholz.
L'aspetto più inquietante dell'esperienza riguarda il conflitto psicologico vissuto dall'intervistatore. Rebholz ha descritto un "tormento interiore" costante: pur essendo sicuro al 95 per cento di trovarsi di fronte a un deepfake, il restante 5 per cento di dubbio lo bloccava dal confrontare direttamente il candidato. Il timore di danneggiare ingiustamente le opportunità lavorative di una persona reale ha prevalso sulla certezza tecnica, impedendogli di interrompere il colloquio o richiedere prove di autenticità.
Le implicazioni economiche e di sicurezza vanno ben oltre il tempo sprecato in colloqui fraudolenti. Una volta assunti, questi falsi lavoratori IT possono accedere a codice proprietario e dati sensibili, che vengono poi utilizzati per estorcere denaro alle aziende vittime minacciando di divulgare informazioni riservate. Il modello operativo prevede spesso l'utilizzo di prestanome che si presentano fisicamente il primo giorno di lavoro, per poi sparire e lasciare il posto al vero operatore remoto.
Le contromisure suggerite dagli esperti combinano approcci tecnologici e procedurali. Oltre a fidarsi dell'istinto, Rebholz raccomanda di mantenere obbligatoriamente le telecamere accese durante i colloqui, vietare gli sfondi virtuali e, in caso di sospetti persistenti, chiedere al candidato di mostrare oggetti fisici dalla propria postazione. Il vecchio trucco di far passare la mano davanti al viso risulta ormai inefficace contro i software deepfake moderni. Per le posizioni remote, dovrebbe essere obbligatoria una settimana iniziale in presenza, misura che aggiunge sufficiente attrito da scoraggiare i truffatori.
Il fenomeno solleva interrogativi più ampi sulla vulnerabilità dei processi di selezione nell'era del lavoro remoto e dell'intelligenza artificiale generativa. Se professionisti esperti faticano a distinguere candidati reali da deepfake sofisticati, quale livello di verifica possono realisticamente implementare le startup e le PMI con risorse limitate? La tensione tra efficienza dei processi di recruiting digitale e necessità di controlli rigorosi rappresenta una sfida crescente per il management aziendale, con ricadute potenziali sulla competitività e sulla sicurezza dell'intero ecosistema tecnologico occidentale.