Truffe deepfake in Italia: la mappa dei casi documentati e come riconoscerli

Le truffe deepfake in Italia sfruttano video manipolati con AI, voci clonate, finti articoli o profili social clonati per usare senza autorizzazione nome, volto o voce di personaggi noti e promuovere finte piattaforme di investimento, prodotti sanitari fasulli o consigli finanziari ingannevoli. Tra il 2022 e il 2025 sono stati documentati 15 casi principali, organizzati in 4 famiglie: investimenti, clickbait articoli, prodotti sanitari e profili clonati.

Le fonti raccolte includono testate giornalistiche come Open, Facta, Fanpage, ANSA, Sole 24 Ore Sanità24 e Today.it. In parallelo, alcune istituzioni hanno pubblicato avvisi o inquadramenti di categoria: Banca d'Italia sul caso Panetta, FNOMCeO, tramite il presidente Filippo Anelli in un'intervista a Sole 24 Ore Sanità24, sul furto di identità di medici tramite deepfake. La Polizia Postale resta il riferimento operativo per la denuncia. Il vettore tecnico cambia, ma la struttura di fondo si ripete in modo riconoscibile.

Questa pagina raccoglie quindici casi documentati dalle fonti citate e li organizza in quattro famiglie di vettori, con l'obiettivo di rendere il pattern riconoscibile prima ancora dei singoli volti utilizzati. Le schede individuali approfondiscono ogni caso con segnali specifici, fonti dettagliate e indicazioni operative.

Le informazioni riportate in questa pagina derivano dai fact-check e dagli articoli pubblicati dalle testate citate (Open, Facta, Fanpage, ANSA, Sole 24 Ore Sanità24, Today.it), dall'avviso pubblico di Banca d'Italia sul caso Panetta e dall'inquadramento istituzionale FNOMCeO sul filone di pharma fraud. Le pagine ufficiali di AIFA e della Polizia Postale sono citate come riferimenti istituzionali generali. Per il dettaglio fonte-per-fonte di ciascun caso, le schede individuali linkate sotto contengono il frontmatter completo.

Cos'è il fenomeno italiano dei deepfake usati in truffe

In senso tecnico stretto, per deepfake si intende un contenuto audio o video manipolato con strumenti di intelligenza artificiale per attribuire a una persona reale parole, gesti o azioni che non ha compiuto. In questa pagina, il termine viene usato anche come etichetta editoriale del cluster più ampio di impersonazioni digitali documentate dalle fonti raccolte: finti articoli che imitano una testata, profili social clonati, voci telefoniche sintetizzate. Quando una scheda non riguarda un video deepfake, viene indicato esplicitamente.

Nelle fonti raccolte, i casi italiani 2022-2025 condividono tre elementi strutturali:

• Identità rubata di una figura pubblica riconoscibile — istituzionale (presidenti, ministri, governatori), del giornalismo (conduttori, giornalisti), dello spettacolo (showman, presentatori, influencer) o medico-scientifica (infettivologi, farmacologi).
• Pretesto narrativo che genera urgenza o fiducia — un investimento "riservato", una rivelazione TV in "esclusiva", una "verità nascosta" su un tema sanitario, una procedura legale annunciata.
• Funnel di conversione esterno al canale ufficiale — pagina di registrazione, chiamata di un finto consulente, acquisto di un prodotto presentato come sanitario su una pagina esterna ai canali verificabili dalle fonti raccolte, deposito iniziale (la soglia dei 250 euro ricorre in più varianti documentate del cluster investimenti).

La caratteristica più rilevante editorialmente, e più difficile da contrastare operativamente, è la persistenza nel tempo del fenomeno. Il caso tra i più persistenti del cluster documentato dalle fonti raccolte — quello che usa l'identità dell'infettivologo Matteo Bassetti — ricorre dal 2022 al 2025 in forme diverse, nonostante smentite ripetute, segnalazioni personali e interventi istituzionali. Cambia il volto, cambia il prodotto, cambia la grafica. Il format resta riconoscibile.

Le quattro famiglie di vettori

Le quindici schede della Phase 1.5 sono organizzate in quattro cluster per vettore tecnico. Ogni cluster ha la propria pagina di approfondimento, con la lista completa dei casi e i segnali specifici della famiglia.

1. Investimenti — video deepfake e voice cloning per finte piattaforme finanziarie

→ Vai alla raccolta articoli per Investimenti

È il cluster più ampio (10 schede su 15). Comprende le varianti che usano video deepfake o voce sintetizzata per promuovere finte piattaforme di investimento, sponsorizzate via Meta o diffuse via post organici. La famiglia documenta il pattern Quantum (cinque casi istituzionali con la stessa narrazione, soglia 250€, finta app o finto fondo presentati come "endorsement" istituzionale): Panetta, Meloni, Mattarella, Giorgetti e il caso del conduttore TV Mentana. Comprende inoltre quattro casi di endorsement VIP in cui il volto di personaggi dello spettacolo è usato per promuovere finte piattaforme di trading: Fazio, Ferragni, Venier, Greggio.

A questi si aggiunge il caso Crosetto — variante voice cloning per CEO fraud, in cui la voce sintetizzata del Ministro della Difesa è stata utilizzata in chiamate dirette a imprenditori per chiedere bonifici per "riscatto di ostaggi": una variante distinta perché il vettore è la chiamata telefonica, non la sponsorizzata social.

2. Clickbait articoli — finti articoli di testata che attribuiscono "rivelazioni" a volti noti

→ Vai alla raccolta articoli per Clickbait articoli

Due schede (Conti, Leotta) documentano una variante che non usa video deepfake ma riproduce graficamente il layout di una testata reale (Repubblica nel caso Conti, RaiNews nel caso Leotta). Dentro l'articolo finto, una rivelazione attribuita al volto noto e un rimando a una piattaforma di investimenti. La famiglia è documentata da Facta come template ricorrente che ha colpito anche Elisabetta Canalis, Chiara Ferragni e Paola Cortellesi (storpiata in "Cartolessi").

3. Prodotti sanitari — identità medica usata per vendere creme, integratori e "kit"

→ Vai alla raccolta articoli per Prodotti sanitari

Due schede (Bassetti, Garattini) documentano il sub-cluster sanitario, il più sensibile sul piano YMYL (Your Money or Your Life). L'identità di un medico riconoscibile viene utilizzata per vendere creme, integratori, "kit anti-vaccino" o prodotti analoghi su pagine esterne ai canali sanitari verificabili dalle fonti raccolte. La FNOMCeO, tramite il presidente Filippo Anelli sull'inquadramento del fenomeno pubblicato da Sole 24 Ore Sanità24 nel marzo 2024, ha riconosciuto il pattern come crescente. Per verifiche autoritative su farmaci e prodotti sanitari in Italia, il riferimento è il sito ufficiale AIFA.

4. Profili clonati — impersonazione social di identità professionali

→ Vai alla raccolta articoli per Profili clonati

Una scheda (Pira) documenta una variante in cui non è il singolo contenuto video a essere manipolato, ma la presenza social della persona impersonata: profili Facebook, TikTok, Telegram e Instagram clonati per veicolare consigli di investimento via messaggio diretto. La famiglia mostra perché questa pillar usa "deepfake" come etichetta editoriale ampia: il rischio non riguarda solo video manipolati, ma anche altre forme di impersonazione digitale usate per ottenere fiducia.

I segnali trasversali — cosa cercare prima del singolo caso

Le schede individuali approfondiscono i segnali specifici di ciascun caso. A livello di pillar, sei pattern attraversano i quattro cluster e sono utili come filtro di prima lettura per qualsiasi contenuto sospetto:

• Sponsorizzata, post o messaggio diretto come unico canale del messaggio. Una notizia di portata istituzionale, una rivelazione TV vera o un consiglio professionale documentato, quando esistono, lasciano traccia su più canali pubblici riconoscibili. Quando un messaggio circola solo come sponsorizzata Facebook o come DM da un profilo non verificato, è un segnale da approfondire prima di interagire.
• Pretesto narrativo a forte leva emotiva — "posti limitati", "verità nascosta", "rivelazione fuori onda", "azione legale annunciata", "medico ucciso dopo aver rivelato". Nelle fonti raccolte, queste formule ricorrono in modo trasversale alle quattro famiglie del cluster.
• Identità professionale incongruente col prodotto promosso. Un infettivologo che vende creme contro l'artrosi, un Ministro che chiede bonifici personali per riscatti, una giornalista economica che manda DM con consigli di investimento personalizzati: ogni caso del cluster mostra un'incongruenza tra il profilo pubblico documentato della persona impersonata e il contenuto attribuito. È il primo filtro.
• Dominio di destinazione diverso dal canale ufficiale dichiarato. Quando un finto articolo imita Repubblica o RaiNews, il dominio in barra non corrisponde a repubblica.it o rainews.it. Quando un profilo social di un giornalista non è collegato a fonti ufficiali della testata, è un segnale da verificare prima di interagire.
• Funnel di conversione che chiude su un prodotto specifico. Nelle fonti raccolte, ogni caso del cluster termina con un call-to-action diretto: registrazione su una piattaforma, acquisto di un prodotto, versamento iniziale (la soglia dei 250 euro ricorre in più varianti documentate). Quando un contenuto presentato come servizio giornalistico o avviso istituzionale termina con registrazione, acquisto o versamento, il passaggio commerciale va verificato sul canale ufficiale dichiarato prima di interagire.
• Ripetizione del format con volti diversi. Quando lo stesso pretesto narrativo ("Banca d'Italia avvia un'azione legale contro X", "Felicissima sera con la rivelazione di Y", "il medico Z ucciso dopo aver scoperto la verità") compare con nomi sostituiti — secondo le fonti raccolte, questo è il segnale più forte di un template del cluster, non di una notizia.

Le risposte istituzionali e il loro perimetro

Nelle fonti raccolte, le risposte pubbliche al fenomeno sono arrivate su più piani — con asimmetrie tra i quattro cluster:

• Banca d'Italia ha pubblicato un avviso ufficiale sul caso del Governatore Fabio Panetta, riconoscendo l'uso indebito del nome e dell'immagine in contenuti fraudolenti. È la risposta istituzionale specifica documentata per il caso Panetta nel sub-cluster Quantum.
• FNOMCeO, tramite il presidente Filippo Anelli, ha affrontato pubblicamente il fenomeno su Sole 24 Ore Sanità24 nel marzo 2024, riconoscendo come fenomeno di categoria il furto di identità di medici tramite deepfake.
• Polizia Postale è il riferimento operativo per la denuncia dei casi del cluster. Il portale ufficiale per la denuncia online è commissariatodips.it.
• Singoli soggetti impersonati hanno smentito pubblicamente in modi diversi: Bassetti ripetutamente in interviste e sui propri canali (citazione riutilizzabile: "Non vendo nulla. Qualsiasi cosa vi venga proposta a nome di Matteo Bassetti sui social è una truffa"); Pira raccontando il fenomeno in prima persona a Fanpage; Sacchi (giornalista co-impersonata nel caso Garattini) segnalando all'Ordine dei Giornalisti delle Marche, all'Ordine Nazionale e annunciando denuncia alla Polizia Postale.

L'osservazione editoriale che attraversa tutte le risposte pubbliche documentate è: le smentite individuali non bastano sempre a interrompere la circolazione di format già riutilizzabili. Per il singolo lettore, il filtro più affidabile non è la rimozione tempestiva da parte delle piattaforme, ma la verifica preventiva — del profilo, del dominio, della coerenza tra contenuto e canale ufficiale.

Cosa fare se hai visto un contenuto sospetto

Le indicazioni che seguono sono trasversali ai quattro cluster. Per i passaggi specifici di ogni caso, le schede individuali contengono le procedure dettagliate (chargeback, denuncia, segnalazione del prodotto sanitario, ecc.).

• Non interagire prima di verificare. Non cliccare sul link, non rispondere al messaggio diretto, non condividere il contenuto (anche per "denunciare" — la condivisione può amplificare la circolazione del materiale).
• Verifica il canale ufficiale. Per un soggetto istituzionale, il riferimento è il sito ufficiale dell'istituzione. Per un giornalista, la pagina autori della testata. Per un medico, l'iscrizione all'Ordine professionale competente. Per un prodotto sanitario, il sito ufficiale AIFA.
• Verifica il dominio di destinazione. Per ogni testata, il riferimento è il suo dominio ufficiale; un articolo che imita la grafica ma usa un dominio diverso è un segnale da verificare prima di interagire.
• Segnala alla piattaforma. Tutte le piattaforme social offrono una funzione di segnalazione "annuncio falso/fraudolento" o "account falso". Nelle fonti raccolte, la rimozione effettiva dipende dalla velocità della piattaforma — la segnalazione resta comunque il primo passo.
• Se hai versato denaro o acquistato/ricevuto un prodotto presentato come sanitario: contatta immediatamente la banca per chiedere lo storno del bonifico o il chargeback se hai pagato con carta. Per i prodotti sanitari acquistati: è consigliabile non assumerli e consultare un medico o un farmacista prima di qualsiasi uso.
• Denuncia alla Polizia Postale. Per cifre rilevanti o segnalazioni di reti più estese, è consigliabile presentare denuncia tramite il portale ufficiale della Polizia Postale, portando estratti conto, screenshot del contenuto, IBAN del destinatario e copia della corrispondenza.

Le 15 schede della mappa

La cosa importante non è ricordare tutti i nomi impersonati. È riconoscere il formato: volto noto, pretesto emotivo, canale non ufficiale, richiesta economica.

Per ciascun caso, la scheda dedicata contiene fonti complete, segnali specifici, FAQ e indicazioni operative. Le schede sono organizzate per cluster di vettore.

Investimenti (cluster):

• Truffa Fabio Panetta — il pattern Quantum AI come template istituzionale
• Voice cloning del Ministro Crosetto — la chiamata da un milione di euro
• Truffa Giorgia Meloni — variante Quantum con app di Elon Musk
• Truffa Sergio Mattarella — variante istituzionale Quantum
• Truffa Giancarlo Giorgetti — variante ministeriale Quantum
• Truffa Enrico Mentana — il conduttore deepfakato del cluster Quantum
• Truffa Fabio Fazio — endorsement VIP per finte piattaforme di investimento
• Truffa Chiara Ferragni — variante endorsement con investimento collegato a fonte borderline
• Truffa Mara Venier — endorsement crypto via voice cloning
• Truffa Ezio Greggio — il pattern "50 posti" e il fact-check Fanpage

Clickbait articoli (cluster):

• Truffa Carlo Conti — finto articolo Repubblica e falsa azione Banca d'Italia
• Truffa Diletta Leotta — finto articolo RaiNews e fabbricata "confessione" su Felicissima sera

Prodotti sanitari (cluster):

• Truffa Matteo Bassetti — l'identità rubata dell'infettivologo (2022-2025)
• Truffa Silvio Garattini — finto servizio Sky TG24 con deepfake e "pillola anti-vaccino"

Profili clonati (cluster):

• Truffa Mariangela Pira — profili social clonati della giornalista Sky TG24

Domande frequenti

Cosa si intende esattamente per "deepfake" in queste pagine?

In senso tecnico stretto, deepfake indica un contenuto audio o video manipolato con strumenti di intelligenza artificiale per attribuire a una persona reale parole o azioni che non ha compiuto. In questa pagina e nelle schede collegate, il termine viene usato anche come etichetta editoriale del cluster più ampio di impersonazioni digitali documentate dalle fonti raccolte: finti articoli che imitano una testata, profili social clonati, voci telefoniche sintetizzate. Le quattro famiglie di vettori descritte in questa pagina coprono entrambe le accezioni; quando una scheda non riguarda un video deepfake in senso tecnico, viene indicato esplicitamente.

Quanti casi documentati ci sono in Italia?

Questa pagina raccoglie quindici casi documentati dalle fonti citate (Open, Facta, Fanpage, ANSA, Sole 24 Ore Sanità24, Today.it, Banca d'Italia) tra il 2022 e il 2025. Le fonti specializzate — in particolare Facta nella sua copertura aggregata sul cluster — segnalano che il fenomeno è più ampio dei singoli casi documentati: lo stesso template ricorre con volti diversi, cambiando il nome impersonato.

Come posso riconoscere un deepfake video?

I segnali specifici cambiano per ogni caso e sono dettagliati nelle schede individuali. A livello generale, nelle fonti raccolte, ricorrono: lip sync imperfetto, voce con cambi di intonazione anomali, claim numerici inverosimili, lessico clickbait sensazionalistico, sponsorizzata o post come unico canale del messaggio, call-to-action a un prodotto vendibile in chiusura. Il filtro più affidabile, prima dei segnali tecnici, è la verifica del canale ufficiale del soggetto impersonato.

Le piattaforme rimuovono i contenuti segnalati?

La segnalazione resta il primo passo, ma nelle fonti raccolte la rimozione effettiva dipende dalla velocità della piattaforma nel rispondere e, in alcuni casi documentati, la chiusura di alcuni profili o annunci non esclude la comparsa di nuovi cloni. Per questo, il filtro più affidabile per il singolo lettore non è la rimozione tempestiva da parte delle piattaforme, ma la verifica preventiva del profilo, del dominio e della coerenza tra contenuto e canale ufficiale.

A chi posso denunciare una truffa deepfake in Italia?

Alla Polizia Postale, tramite il portale ufficiale commissariatodips.it, portando screenshot del contenuto, dell'eventuale piattaforma di destinazione, conversazioni e estratti conto. Per la parte relativa a un prodotto sanitario, il riferimento è il sito ufficiale AIFA. Per la parte relativa all'uso non autorizzato dell'identità di un giornalista o di un professionista sanitario, è possibile verificare i riferimenti dell'Ordine professionale competente.

Un ultimo pensiero

Le quindici schede di questa mappa raccontano episodi diversi, con volti diversi e prodotti diversi. Ma il filo che le tiene insieme è uno: il vettore tecnico cambia rapidamente, mentre il format del raggiro resta riconoscibile. La difesa più affidabile non è inseguire ogni nuova variante, ma imparare a riconoscere il pattern strutturale — sponsorizzata o DM come unico canale, pretesto a forte leva emotiva, identità professionale incongruente col prodotto, dominio di destinazione esterno al canale ufficiale, richiesta di registrazione, acquisto o versamento in chiusura.

Quando questi elementi compaiono insieme, è il pattern del cluster. Verificare prima di interagire è il gesto utile.