Trusted Codes
RisorseLuglio 20267 min di letturaENDEESFRITNL

Apple ha appena confermato ciò che gli esperti di frodi sanno da anni: l’anello debole è l’essere umano

L’annuncio di iOS 27 di questa settimana conta — a patto di capire bene cosa offre e cosa lascia fuori, deliberatamente.

Alla WWDC26 Apple ha presentato Trust Insights, un nuovo framework di iOS 27. Permette a un’app di porre al sistema operativo, nel momento critico, una domanda senza precedenti: «C’è qualcuno che sta dicendo a questa persona cosa fare, proprio adesso?»

Vale la pena fermarsi a pensare cosa significhi. Una nonna al telefono con un sedicente nipote che le detta un bonifico, passo dopo passo. Un pensionato a cui un finto «tecnico Microsoft» fa attivare l’accesso remoto. L’operazione in sé non ha nulla di strano: credenziali giuste, dispositivo giusto, impronta giusta. La frode non sta nei dati — avviene nella conversazione, proprio accanto al telefono.

La risposta di Apple: il dispositivo riconosce schemi di comportamento sospetti e l’app può inserire un controllo in più prima che i soldi partano. Banche, app di pagamento e wallet di criptovalute dovrebbero adottarlo il prima possibile — e spero davvero che lo facciano.

Cosa fa Trust Insights — e cosa no

È un’ultima linea di difesa. Di solito scatta all’ultimissimo momento, dentro una singola app, quando la vittima è già nel pieno della truffa: convinta, sotto pressione, col dito sul pulsante del bonifico. E ha limiti strutturali:

  • La protezione arriva fin dove arriva l’adozione — e l’adozione resterà a macchia di leopardo. Ogni app deve integrare il framework per conto suo. Magari la tua banca principale lo farà; la seconda banca, l’app di pagamenti o il wallet crypto forse no. E al truffatore basta indirizzare la vittima verso l’unica porta rimasta aperta. Da fuori è impossibile sapere quali app siano coperte: la protezione è reale, ma non è garantita da nessuna parte.
  • Servono le piattaforme Apple in versione 27 — per ora in beta. Android, gli iPhone meno recenti, il web e i computer non Apple restano fuori.
  • Non funziona del tutto offline, e non è invisibile. Il framework si appoggia al dispositivo e al cloud, e Apple chiede alle app di riferire come è stato usato ogni segnale. Soprattutto: come utente devi autorizzare esplicitamente, app per app, la valutazione del tuo comportamento. Per un segnale del genere è il design giusto — ma resta una forma di monitoraggio del comportamento a cui si acconsente.
  • Vede solo il dispositivo su cui gira, e solo al momento della transazione. Sposta la conversazione altrove — oggi la falsa email del CEO, domani il bonifico dal computer — e non resta nulla da osservare. La frode del CEO via email e le videoconferenze deepfake vivono esattamente in quel varco: la manipolazione è asincrona, chi esegue il pagamento si comporta in modo del tutto normale e l’operazione avviene su una macchina che iOS non vedrà mai.
  • Segnala rischi, non verità. Sa dire «qui c’è qualcosa che non torna». Quello che non saprà mai è se dall’altra parte c’è davvero tuo nipote.

E l’avversario impara in fretta

A questo si aggiunge un problema più silenzioso, ben noto a chi lavora con l’IA: Trust Insights è un classificatore comportamentale — e quel comportamento è esattamente ciò che il truffatore mette in scena col suo copione. La frode è un’industria, e ogni bonifico bloccato è una lezione. I copioni si adatteranno: «prima riattacca, ti richiamo io», «nessuna fretta, fallo domani con calma». È la stessa debolezza strutturale della prompt injection: quando l’attaccante scrive una parte dell’input di una decisione di sicurezza, prima o poi impara a scriverlo senza far scattare nulla.

I sistemi di rilevamento non crollano di colpo: si consumano, copione dopo copione, man mano che l’altra parte si adegua. Un segreto condiviso non si consuma. Non esiste una soglia sotto cui infilarsi a forza di prove. Il truffatore può avere la voce più calma del mondo — il codice continuerà a non conoscerlo.

Ed eccoci al punto. La truffa del nipote, il finto operatore bancario, la frode del CEO, la videochiamata deepfake: tutto si regge su una cosa sola — un’identità dichiarata ma mai verificata. «Sono io.» «La chiamo dalla sua banca.» «Sono il tuo direttore finanziario.» Tutto ciò che viene dopo è soltanto contenimento del danno.

È esattamente qui che entra Trusted Codes

Trusted Codes non verifica la transazione, ma la persona — con codici brevi e semplici, condivisi tra due persone che si fidano l’una dell’altra. La nonna e il nipote. La cliente e la sua banca. Il capo e il team finanziario. Se qualcuno chiama dicendo di essere un familiare, basta una domanda: «Qual è il nostro codice?»

E siccome qui si verificano persone e non transazioni, le regole del gioco cambiano:

  • La truffa si ferma all’inizio, non alla fine. Prima che monti la pressione, prima che la storia faccia presa, prima ancora che qualcuno apra un’app bancaria. La bugia crolla sulla soglia — e tutto il resto semplicemente non accade.
  • Niente monitoraggio, niente rapporti a nessuno. Non c’è nulla da autorizzare, perché nessuno ti sta osservando. La verifica avviene sul tuo dispositivo: i segreti che la sostengono non lo lasciano mai, e tutto ciò che si sincronizza è cifrato end-to-end. La privacy non è una casella da spuntare — è il progetto stesso.
  • Nessuna soglia da aggirare. Un classificatore si può tastare e riprovare; un segreto condiviso bisogna procurarselo. E i codici ruotano: un codice carpito ieri oggi non apre più nulla.
  • Tutti i canali. Telefono, videochiamata, messaggi, email, di persona. Fisso o smartphone, iPhone o Android, computer o cellulare. Un’unica abitudine copre tutte le vie d’ingresso in una volta: la voce deepfake fallisce la stessa prova del truffatore al telefono. E senza aspettare che ogni app si decida a pubblicare un aggiornamento. E quando l’inganno non sta in una voce ma in un messaggio — l’email del finto CEO, la fattura contraffatta — lo stesso principio si estende dalla verifica delle persone a quella dei documenti.
  • E senza aspettare nessuno. Niente roadmap della banca, niente versione minima del sistema, niente rollout. Funziona oggi.

Complementari, non rivali

Trust Insights intercetta la vittima all’ultimo momento utile, dentro le app che l’avranno adottato. La verifica delle persone impedisce che la situazione nasca — ovunque altrove. E le banche che adotteranno Trust Insights si porranno presto una domanda nuova: il sistema dice che il cliente sta ricevendo istruzioni — e adesso? Bloccare il bonifico punisce i tanti casi legittimi (una figlia che aiuta la madre con l’home banking, per esempio — Apple stessa ricorda che ricevere indicazioni non è per forza qualcosa di malevolo). La risposta elegante è un controllo che scioglie il dubbio invece di aggiungere solo attrito: verificare la persona. E per onestà: anche Trusted Codes ha i suoi limiti — servono l’app da entrambe le parti e una relazione già stabilita, e nessuno strumento può giudicare le intenzioni di uno sconosciuto. È esattamente per questo che un segnale a livello di sistema operativo è benvenuto: arriva dove la sola verifica non può arrivare.

Che Apple inserisca una protezione contro la manipolazione direttamente nel sistema operativo è una pietra miliare. Il messaggio, al livello più alto del settore: il problema di frode di questo decennio non è il malware, è il social engineering. Le macchine sono sempre più sicure. Le conversazioni no.

Proteggi la conversazione, e proteggerai tutto ciò che ne segue.

La verifica, per le relazioni umane

Trusted Codes funziona su qualsiasi canale, tutto resta sul tuo dispositivo — ed è già disponibile oggi.