Le truffe di sextortion stanno diventando sempre più diffuse e sofisticate, complice anche la GenAI. Un'indagine condotta da Avast rivela che nei primi mesi del 2025 l'Italia si è collocata al quinto posto tra i Paesi più colpiti da campagne di sextortion mirate. Un fenomeno tristemente noto che sfrutta la vulnerabilità emotiva delle vittime e la facilità con cui si possono reperire online i dati personali.

Oltre all'Italia, nella Top 5 troviamo Stati Uniti, Regno Unito e Australia; più in dettaglio, negli Stati Uniti il rischio è aumentato del 137%, nel Regno Unito del 49% e in Australia del 34%. Ampliando il panorama ai dieci Paesi più vulnerabili sono chiamati in causa anche Giappone, Singapore, Hong Kong, Sud Africa, Emirati Arabi Uniti, Svizzera e Repubblica Ceca. Questa varietà geografica è esplicativa della diffusione globale delle campagne di sextortion, che va di pari passo con l'evoluzione delle tattiche utilizzate dagli attaccanti.

I cyber criminali, infatti, manipolano le vittime usando l’AI per creare immagini deepfake realizzate sovrapponendo il volto della vittima a quello di corpi nudi o in pose compromettenti. Le immagini sono poi associate a minacce di diffusione pubblica, spesso supportate da dettagli personali accurati collezionati via web o tramite data breach. L’impianto di truffa così costituito conferisce alle truffe un senso di credibilità, che spinge molte vittime a cedere alle richieste di riscatto.

Gli esperti segnalano un'altra tattica emergente: l’uso di Google Maps per creare email personalizzate che incorporano le foto delle case delle vittime scattate da Google Street View. Gli attaccanti affermano di avere accesso ai dispositivi delle vittime e minacciano di diffondere contenuti sessuali o informazioni riservate. Un approccio questo che alza il livello di intimidazione e rende le truffe ancora più efficaci: gli esperti di Avast calcolano che esistono più di 15.000 portafogli Bitcoin unici associati a queste campagne.

Gli esperti esortano a non interagire con messaggi sospetti, né rispondere alle richieste di riscatto. La prima azione da fare è la denuncia alle autorità competenti. A titolo preventivo è bene monitorare i propri dati per individuare eventuali violazioni, attivare l’autenticazione a più fattori per arginare il furto di dati che possano essere usati in queste truffe.