Un tempo i truffatori mandavano link sospetti o allegati infetti. Oggi, invece, la nuova frontiera della pirateria digitale sembra molto più raffinata: non punta più a ingannare l’utente, ma addirittura la sua intelligenza artificiale.
Secondo un recente allarme lanciato da Google, i cyber-criminali hanno trovato un modo per sfruttare le funzioni AI integrate nei servizi di posta elettronica, in particolare Gmail, che conta miliardi di account attivi nel mondo. L’arma si chiama indirect prompt injection: non un attacco diretto al sistema, ma un “messaggio occulto” nascosto dentro email, documenti o persino inviti a calendario.
Come funziona l’inganno
Il trucco è semplice quanto ingegnoso. Gmail e Workspace utilizzano Gemini, il modello AI di Google, per riassumere i messaggi, proporre risposte automatiche o estrarre date. L’AI, per farlo, legge tutto il contenuto della mail. Se tra quelle righe si nasconde un comando malevolo scritto in caratteri invisibili all’occhio umano – ad esempio bianco su sfondo bianco o inserito nei metadati – l’AI lo interpreta come testo normale.
Ed è qui che nasce la vulnerabilità: nel momento in cui la sintesi automatica viene generata, il sistema può restituire un falso messaggio, come un avviso di sicurezza con un numero di supporto truffaldino, convincendo l’utente a compiere un’azione rischiosa. Non c’è bisogno di link sospetti o allegati infetti: basta che l’AI cada nella trappola.
Dai calendari agli avvisi falsi
Uno studio accademico dal titolo eloquente, “Invitation Is All You Need”, ha dimostrato che persino un semplice invito Google Calendar manipolato può indurre l’AI a compiere azioni non autorizzate, come controllare dispositivi domestici o inviare messaggi.
Mozilla ha segnalato casi in cui un’email apparentemente innocua, una volta riassunta da Gemini, diventava un finto alert di sicurezza. La vittima, convinta di ricevere un messaggio ufficiale da Google, rischiava così di cedere dati personali o denaro.
Le contromisure di Google
Consapevole della minaccia, Google ha annunciato un approccio multilivello puntando su una maggiore resistenza del modello Gemini 2.5; su algoritmi capaci di individuare istruzioni sospette e su controlli aggiuntivi e richieste di conferma prima di azioni delicate. L’azienda ammette, però, che la partita è tutt’altro che chiusa: i truffatori innovano continuamente, e il rischio resta.
Per chi usa Gmail e i servizi Workspace, i consigli sono chiari: ovvero non fidarsi ciecamente dei riassunti AI; di verificare sempre eventuali avvisi di sicurezza e di valutare la possibilità di disattivare le funzioni smart se non indispensabili.
La curiosità – e al tempo stesso la preoccupazione – è che non è più l’utente a cadere direttamente nell’inganno, ma l’AI stessa. Un ribaltamento dei ruoli che segna una nuova fase della lotta tra criminali digitali e difese informatiche.