Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

minacce informatiche

Falsi ChatGpt, PMI nel mirino del malware: rischi e strategie di difesa

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Malware camuffati da ChatGPT in aumento: le PMI sono il bersaglio principale, con rischi estesi a intere filiere produttive

Pubblicato il 6 ott 2025
Tania Orrù

Privacy Officer e Consulente Privacy Tuv Italia

voucher cloud cybersecurity Malware ChatGPT

Nei primi mesi del 2025 il panorama delle minacce informatiche ha registrato una crescita senza precedenti di campagne malevole che sfruttano l’immagine e la popolarità dei sistemi di intelligenza artificiale.

Cybercrime e PMI: come cambia la mappa dei rischi digitali

Crescita delle campagne malevole basate su ChatGpt: lo studio Kaspersky

Secondo un recente studio condotto da Kaspersky, i file dannosi che si presentano come versioni fasulle di ChatGPT sono aumentati del 115 per cento nei primi quattro mesi dell’anno rispetto allo stesso periodo del 2024.

Si tratta di un dato significativo che segna un cambio di strategia da parte degli attori malevoli, che hanno abbandonato l’esca del documento Word o del pacchetto Excel (strumenti ormai abusati per diffondere malware), in favore di software AI più in voga, capaci di attrarre l’attenzione di utenti e imprese. Nel mirino, in particolare, ci sono le piccole e medie imprese, che restano la fascia più vulnerabile del tessuto produttivo sia in Italia che a livello internazionale.

Ciò conferma quanto gli aggressori siano abili nel cavalcare trend tecnologici e mediatici per ottimizzare i loro tentativi di infezione e, allo stesso tempo, mette in luce una fragilità strutturale delle PMI, molto spesso impreparate ad affrontare campagne di ingegneria sociale e di distribuzione di malware mascherato. Infine, dovremmo interrogarci sul futuro prossimo della cybersecurity, che vedrà una convergenza sempre più stretta tra tecniche classiche di phishing e nuove modalità di attacco potenziate dall’intelligenza artificiale.

Il fenomeno delle imitazioni AI e le scelte strategiche dei cybercriminali

Il dato più interessante dello studio Kaspersky, oltre all’entità dell’incremento percentuale, è la varietà di strumenti AI imitati: ChatGPT, con la sua enorme notorietà globale, viene rilevato come il brand più sfruttato; DeepSeek, altro modello emergente, è stato oggetto di imitazioni, anche se in un numero inferiore di varianti individuate. Diversamente, altri sistemi come Perplexity non hanno registrato falsificazioni significative, aspetto che evidenzia come gli aggressori scelgano le loro esche sulla base della probabilità che un utente medio ricerchi o scarichi quel particolare software. Hype e popolarità immediata sembrano un criterio per la scelta degli strumenti da contraffare e diffondere nelle campagne malevole.

Più nello specifico, secondo i dati del SMB Threat Report 2025 di Kaspersky, tra gennaio e aprile 2025 quasi 8.500 utenti di piccole e medie imprese si sono imbattuti in minacce camuffate da applicazioni legittime, mentre sono stati individuati oltre 4.000 file unici di malware e software potenzialmente indesiderati che imitavano programmi di largo consumo. Il dato interessante è che, rispetto al 2024, il numero complessivo di file malevoli unici è diminuito, passando da 5.587 a 4.043, ma la quota di quelli che imitano strumenti emergenti come l’intelligenza artificiale è cresciuta in modo sostanziale.

Zoom resta l’applicazione più sfruttata con oltre 1.650 falsi file (41% del totale), seguita da Outlook e PowerPoint (16% ciascuno), Excel (12%) e Word (9%). ChatGPT, invece, ha fatto registrare un balzo del 115% di file malevoli camuffati rispetto all’anno precedente, raggiungendo 177 varianti uniche.

DeepSeek, lanciato nel 2025, conta già 83 casi documentati. Questo dato segnala l’attenzione dei cybercriminali verso i brand di maggiore popolarità e la rapidità con cui essi riescono a sfruttare nuovi trend tecnologici come leva di social engineering. Un ulteriore elemento rilevante è la contaminazione con altri vettori tradizionali. Inoltre, il fatto che applicazioni come Zoom, siano rimaste anche nel 2025 uno degli strumenti più imitati, dimostra che i cybercriminali continuano ad utilizzare le vecchie esche affiancandole a quelle nuove, in un portafoglio di opzioni da calibrare a seconda del target della campagna.

Tecniche di distribuzione dei malware camuffati

La modalità di distribuzione è, nella maggior parte delle volte, semplice e ingannevole: gli utenti vengono indotti a scaricare pacchetti che promettono l’accesso a una versione “desktop” o “premium” di ChatGPT, oppure a tool di automazione basati su intelligenza artificiale, ma che in realtà contengono downloader di malware, trojan con capacità di accesso remoto, o ancora software indesiderati che aprono la strada ad altre infezioni. In alcuni casi, il file inizialmente installato appare innocuo e per questo non desta sospetti, ma avvia processi in background che scaricano successivamente componenti più sofisticate dal server di comando e controllo. Si tratta di una tecnica già ampiamente utilizzata nel cybercrime, acquista una forza nuova quando incontra la suggestione di un brand AI noto e percepito come “innovativo” o addirittura come “indispensabile”.

Le PMI come bersaglio privilegiato degli attacchi

La scelta di imitare ChatGPT è (in parte) opportunistica, mentre il focus sulle PMI non è certamente casuale, dal momento che le piccole e medie imprese rappresentano da sempre il segmento più esposto agli attacchi informatici, sia per ragioni strutturali sia per fattori culturali. Nella maggior parte dei casi, infatti, non dispongono di budget sufficienti per dotarsi di sistemi di sicurezza avanzati né di risorse umane dedicate esclusivamente alla protezione informatica. La gestione dell’IT è spesso affidata a figure interne con ruoli multipli e expertise varia e che, in generale, non hanno la possibilità di dedicarsi a un monitoraggio costante delle minacce. Ne consegue che firewall, antivirus e sistemi EDR non sono sempre aggiornati o configurati correttamente, e che la reazione tecnica a un tentativo di attacco può risultare, in molti casi, tardiva o inefficace.

A ciò deve aggiungersi la forte dipendenza delle PMI da strumenti standardizzati e di largo consumo, come suite di produttività, soluzioni SaaS e applicazioni di comunicazione. Questa dipendenza le rende bersagli facili, perché gli aggressori sanno che con una sola campagna possono colpire un bacino ampio e omogeneo di potenziali vittime. In questo contesto, se il file contraffatto si presenta come “ChatGPT installer” o come aggiornamento di un tool AI considerato utile per il lavoro quotidiano, la probabilità che venga scaricato e lanciato da un dipendente è molto elevata.

L’errore umano è determinato da un ulteriore elemento di debolezza, rappresentato dalla carenza di cultura organizzativa con riferimento alla formazione in materia cybersecurity. Se non assente, l’aspetto formativo è il più delle volte limitato a nozioni per lo più generiche e di base, senza aggiornamenti specifici sulle minacce emergenti, ad esempio quelle legate all’intelligenza artificiale. Senza aver familiarità con i rischi delle imitazioni AI, è quasi consequenziale che i dipendenti possano cadere più facilmente nelle trappole di phishing o scaricare software malevoli senza compiere le verifiche necessarie. In assenza di controlli di sicurezza stringenti sui privilegi, un singolo errore umano può aprire la strada a compromissioni estese, con effetti che vanno dal furto ed esfiltrazione di dati all’interruzione dell’operatività aziendale.

La resilienza digitale come leva competitiva

Per affrontare questo scenario non è senz’altro percorribile l’idea, irrealizzabile, della prevenzione “totale”, ma la via da intraprendere è quella verso la costruzione della resilienza, cioè della capacità di resistere ad un attacco, assorbirne l’impatto, riprendersi in tempi rapidi e adattarsi subito dopo a nuove condizioni di minaccia. Il concetto di resilienza va dunque oltre la mera protezione tecnica e investe anche governance, formazione e cultura organizzativa dell’azienda.

Dal punto di vista tecnico, la resilienza richiede una difesa stratificata, che sia multilivello ovvero si affidi alla combinazione di più strumenti di protezione: sistemi EDR sugli endpoint, firewall di nuova generazione, segmentazione della rete, controlli di accesso basati sul principio del minimo privilegio, monitoraggio continuo dei log e soluzioni di backup regolari e isolate. Accanto a queste misure, è altrettanto fondamentale l’adozione di modelli Zero Trust, partendo dal presupposto che nessun utente o processo possa essere ritenuto affidabile per definizione, con la richiesta di autenticazioni e autorizzazioni rigorose per ogni accesso.

La resilienza, tuttavia, oltre alla tecnologia, richiede piani di incident response chiari, con catene di comando definite e con simulazioni regolari che mettano alla prova la capacità dell’organizzazione di reagire a un attacco. Richiede altresì formazione continua del personale, che deve essere consapevole delle esche più sofisticate e delle modalità con cui in particolare l’AI viene sfruttata come veicolo di compromissione. Infine, richiede una cultura del rischio diffusa, in cui il tema della cybersecurity non resti confinato al reparto IT ma diventi parte integrante della strategia aziendale con il coinvolgimento di pressoché tutte le funzioni aziendali.

Non va dimenticato che le PMI raramente operano in modo isolato, in quanto, nella maggior parte dei settori, fanno parte di una filiera o di un ecosistema produttivo in cui un’azienda capogruppo, normalmente di dimensioni maggiori, svolge un ruolo di coordinamento. In questo contesto, la sicurezza informatica non può essere intesa come un perimetro chiuso, dovendo essere invece gestita come sistema distribuito.

La vulnerabilità di un piccolo fornitore, infatti, può tradursi in una porta di ingresso per attaccare la capogruppo o altri partner della catena e di paralizzarne le attività: per queste ragioni le aziende leader dovrebbero ampliare il loro perimetro di consapevolezza e investire in programmi di formazione, sensibilizzazione e supporto tecnico che raggiungano l’intera rete dei fornitori. È infatti nel proprio interesse, che una capogruppo dovrebbe adottare un approccio di “security sharing”, offrendo linee guida minime di sicurezza, soluzioni centralizzate di threat intelligence, strumenti di monitoraggio condivisi e pacchetti di servizi gestiti a costi ridotti per i propri partner. Tale strategia è in grado di ridurre il rischio complessivo della filiera e rafforzare la competitività del network, facendo percepire il tema della cybersecurity come vantaggio competitivo e non come mero costo. È naturale pertanto estendere la riflessione dalle PMI al ruolo delle aziende leader, che hanno la possibilità (e l’interesse diretto) a sostenere la crescita di consapevolezza e protezione dell’intero network.

Filiera, responsabilità e resilienza estesa

La filiera è parte integrante del problema di sicurezza delle PMI e parlare di PMI significa inevitabilmente parlare anche delle catene di fornitura in cui esse operano, proprio perché una vulnerabilità in un piccolo laboratorio o in un fornitore tecnologico può trasformarsi in una porta di accesso per gli aggressori verso l’intera filiera. Di conseguenza, il tema non riguarda più solo la singola impresa, ma l’ecosistema in cui essa si inserisce e, per questo, il modello di filiera diventa cruciale e la capogruppo ha un ruolo che va oltre la governance interna, in quanto deve operare come “facilitatore di sicurezza” per l’intera catena.

Come la capogruppo può estendere la responsabilità digitale

In applicazione del concetto di cyber- resilienza alla filiera di cui spesso fanno parte le PMI, è possibile formulare alcune raccomandazioni realistiche:

  • Mappatura e classificazione dei fornitori critici: la capogruppo può iniziare classificando i propri fornitori in base alla criticità del loro impatto sulla produzione e sui dati. Per questi fornitori, l’azienda madre può richiedere valutazioni periodiche di sicurezza, audit e piani di miglioramento.
  • Standard minimi di sicurezza e checklist di compliance: la capogruppo può definire uno standard minimo obbligatorio di sicurezza (ad esempio: patching regolare, endpoint protection, segmentazione, autenticazione a più fattori) al quale i fornitori aderiscono come condizione contrattuale, anche attraverso un percorso di affiancamento tecnico e formazione.
  • Supporto tecnico e risorse condivise: senza limitarsi ad un’“imposizione”, la capogruppo può offrire pacchetti di supporto: per esempio, un servizio centralizzato di threat intelligence condivisa, template di policy di sicurezza, moduli di formazione, o addirittura una “piccola unità di sicurezza gestita” (MSSP interno) offerta a condizioni agevolate ai fornitori critici. Questa misura è in grado di rafforzare la solidarietà della rete e di allineare gli incentivi: se il fornitore migliora la sicurezza, migliora la resilienza della catena di cui la capogruppo dipende.
  • Simulazioni, audit, esercitazioni di resilienza congiunta: organizzare esercitazioni su scala di filiera, simulazioni di compromissione che coinvolgono capogruppo e fornitori, test di risposta coordinata, creando una “memoria operativa condivisa” e riducendo i tempi di reazione in caso di violazione, soprattutto in presenza di relazioni “strette”.
  • Monitoraggio e reporting: la capogruppo può richiedere ai fornitori strategici dei report periodici sulla compliance, vulnerabilità rilevate, patching, incidenti avvenuti (anche minori). Il flusso di informazioni rafforza il sistema di allerta preventiva e consente interventi tempestivi.
  • Incentivi e responsabilità condivise: la capogruppo non dovrà assumersi l’intero costo del rafforzamento della sicurezza: possono infatti essere introdotti meccanismi di cofinanziamento, bonus sulla qualità del servizio, premi per l’adesione, penalità nei casi di non conformità. Il punto cruciale è che la responsabilità sia condivisa, cosicché il fornitore avrà una quota di “rischio residuo” e il capitale fiduciario della catena sarà legato alla sua affidabilità.

Tuttavia, è fondamentale precisare che questi meccanismi devono avvenire nel rispetto delle normative vigenti, in particolare quelle sulla protezione dei dati personali, costruendo flussi informativi attentamente disegnati, e cioè: evitando la condivisione di dati personali non strettamente necessari; prediligendo log tecnici, indicatori di compromissione (IoC), statistiche aggregate e anonimizzate che rilevino trend e anomalie senza violare la privacy dei dipendenti o dei clienti; stabilendo contratti chiari e trasparenti che regolino la tipologia di dati trattati, le misure di sicurezza adottate, i tempi di conservazione e le responsabilità reciproche; allineandosi agli standard internazionali (es. ISO 27001 e ISO 27701) per garantire uniformità e riconoscibilità.

In altre parole, la cybersecurity di filiera costruisce un hub di conoscenza condivisa che rafforza la resilienza senza compromettere la compliance, in una logica simile a quella della sostenibilità ambientale in cui la capogruppo richiede ai fornitori standard etici e ambientali; allo stesso modo può chiedere e favorire l’adozione di standard di sicurezza digitale, fornendo strumenti e incentivi nel rispetto della cornice normativa.

Scenari futuri e minacce emergenti

Guardando oltre i dati dei primi mesi del 2025, è ragionevole aspettarsi che nei prossimi anni gli attacchi basati sull’imitazione di strumenti AI si intensifichino, andando a colpire sia ChatGPT e i modelli attualmente più diffusi, che le nuove soluzioni che emergeranno sul mercato. Allo stesso tempo, è presumibile che le campagne anziché limitarsi a mascherare file dannosi con nomi accattivanti, inizieranno ad integrare direttamente delle capacità generative. Potremmo insomma trovarci di fronte a malware dotati di modelli linguistici incorporati, in grado di prendere decisioni autonome sul momento opportuno per attivarsi o sul tipo di dati da esfiltrare.

Un’altra frontiera riguarda la supply chain dell’intelligenza artificiale: man mano che le aziende integrano API e SDK di modelli AI nei loro processi (dai CRM ai chatbot di assistenza) aumenterà il rischio che un componente compromesso nella catena possa essere sfruttato come cavallo di Troia. Il contesto AI introduce variabili aggiuntive agli attacchi alla supply chain, in quanto, con la complessità e la rapidità di evoluzione delle librerie aumentano di conseguenza le probabilità di vulnerabilità non rilevate.

Sul versante dellingegneria sociale, l’uso di AI generativa promette di rendere ancora più sofisticati e convincenti gli attacchi di phishing e spear phishing. I modelli sono già ampiamente in grado di produrre email personalizzate e prive di errori grammaticali e a breve potranno anche generare deepfake vocali o video che simulano magari alti dirigenti aziendali che inducono dipendenti a trasferire fondi o condividere credenziali. È assolutamente plausibile che la distinzione tra realtà e falsificazione diventi sempre più difficile, e ciò richiederà strumenti di rilevamento altrettanto avanzati.

Infine, è presumibile che gli aggressori inizino a sfruttare l’AI anche per potenziare le tecniche di evasione, con modelli in grado di generare automaticamente varianti di malware, di offuscare il codice o di adattare i payload alle difese rilevate, in grado di rendere sempre meno efficace la protezione basata su firme statiche. La difesa dovrà quindi necessariamente evolvere verso approcci dinamici, basati sull’analisi comportamentale e sulla capacità di risposta automatica.

Dalla vulnerabilità individuale alla resilienza collettiva

La crescita del fenomeno dei file malevoli che imitano ChatGPT e altri strumenti di intelligenza artificiale è, allo stesso tempo, un allarme tecnologico e un campanello d’allarme strategico e dimostra che:

  • la cybersecurity deve ormai valutare l’intelligenza artificiale come vettore di rischio, non più solo come risorsa difensiva.
  • Se le PMI non investono oggi in resilienza, rischiano di trovarsi domani impreparate di fronte a minacce sempre più sofisticate.
  • Il piano culturale è fondamentale perché è la combinazione di tecnologia, processi e consapevolezza a determinare la capacità di un’organizzazione di sopravvivere e reagire ad un attacco.

Conferma inoltre che la cybersecurity non può più essere interpretata come presidio confinato all’interno di una singola impresa, dal momento che oggi i cybercriminali sfruttano l’entusiasmo per l’AI come leva di ingegneria sociale e lo fanno colpendo con efficacia le PMI, il segmento più fragile del tessuto produttivo.

Se è vero che le piccole e medie imprese devono imparare a investire in resilienza, la sfida non si esaurisce a questo livello dal momento che, quasi sempre, tali imprese sono parte di una filiera. La loro vulnerabilità diventa inevitabilmente vulnerabilità per l’intero ecosistema e per la capogruppo che ne coordina le attività. È per questo che la sicurezza deve essere concepita come sistema distribuito, cioè un insieme di nodi connessi, che si rafforzano reciprocamente attraverso consapevolezza condivisa, standard comuni e supporto tecnico offerto dalle aziende leader.

La capogruppo, nel proprio interesse, deve assumere il ruolo di “facilitatore di sicurezza”, estendendo linee guida, strumenti e formazione a tutta la rete dei propri fornitori, nel rispetto delle normative vigenti, in particolare in materia di protezione dei dati personali. In questo modo la resilienza collettiva diventa anche resilienza conforme, credibile e sostenibile.

Le imitazioni di ChatGPT sono il presente, ma il futuro porterà scenari più complessi: malware dotati di capacità generative, supply chain compromesse da componenti AI, attacchi di social engineering supportati da deepfake vocali e video. Difendersi significherà immaginare modelli difensivi adattivi, capaci di rispondere con la stessa velocità con cui evolve la minaccia.

La continuità e la competitività delle imprese dipenderanno dalla capacità di trasformare la cybersecurity da “costo” a vantaggio competitivo e cioè un valore condiviso lungo tutta la filiera, che rafforza la fiducia e preserva il capitale reputazionale, passando così dalla vulnerabilità individuale alla resilienza collettiva.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Tania Orrù
Privacy Officer e Consulente Privacy Tuv Italia
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Tania Orrù
Privacy Officer e Consulente Privacy Tuv Italia

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • minacce interne (1)

  • sicurezza

    Traditori col badge: come difendere le organizzazioni dalle minacce interne

    16 Dic 2024

    di Francesco Di Maio

    Condividi
  • nano banana disinformazione

  • Google Gemini

    Nano Banana Pro, immagini ad alta disinformazione

    25 Nov 2025

    di Luigi Mischitelli

    Condividi
  • Direttiva CER Cybersecurity Advanced Firewalls, Secure Logins, and Digital Protections Confidential Information. (1) formazione cybersecurity Supply Chain Cybersecurity Cybersecurity PMI

  • sicurezza

    Supply chain sotto attacco: come difendere la filiera IT

    29 Set 2025

    di Ginevra Detti e Luisa Franchina

    Condividi